记录一次地级市HW的完整攻击链条

admin 2025年2月15日22:31:53评论21 views字数 1635阅读5分27秒阅读模式

0x00 前言

记录一次地级市的护网红队
总的来说,在此次HW行动中还是学到了不少东西。故才有了本文,意在对此次HW进行复盘,总结在这次HW中学到的东西以及自己的不足与改进方法,也想做一次分享,希望能同安全圈的各位师傅们一同探讨红队之路怎么走,在攻防演练中作为攻击方我们应当做些什么才能达到HW演练所要达到的效果。以下是本人的总结与思考:

由于HW中涉及的目标都很敏感,故本文截图较少,且都已进行脱敏处理。有些内容可能不太完整,望见谅~
就拿得分最高也是最有意思的一个目标来做下复盘吧,整个的攻击过程和方法是这样的

0x01 总体思路

发现Fckeditor目录遍历->发现配置文件->后台登录getshell->上CS->利用cve-2021-21985拿下VM集群

0x02 前期渗透

经过一些初期的信息搜集以后开始对目标站点进行常规打点渗透。

利用dirsearch工具对网站进行一个目录遍历。

记录一次地级市HW的完整攻击链条

发现其下存在FCKeditor目录,且可访问。

记录一次地级市HW的完整攻击链条

那么就能看到很多东西了,Fckeditor是开源的一个软件,可以直接去搜他的使用手册。

手册中点击_whatsnew.html可以查看相关版本,发现是2.6RC的版本

记录一次地级市HW的完整攻击链条

去搜索相关版本的漏洞发现存在一个文件上传,但是似乎已经被修复了。

目标打点——目录遍历

但是存在依旧目录遍历的漏洞

通过这段payload可以直接目录遍历D盘,由此可以随意访问目标站点机器内容

记录一次地级市HW的完整攻击链条记录一次地级市HW的完整攻击链条

但是在目录遍历时遇到一些小问题,比如遍历目录的时候路径中有中文字符就会报错,但是lucky的是Web目录不在中文目录下

通过脚本进行简单的目录遍历发现一个文件夹是疑似web目录D:/LCREMS/####2019

记录一次地级市HW的完整攻击链条

里面有log.txt文件,可以作为一个特征搜集网站。

找到它IP所有的web端口进行一个批量爆破

记录一次地级市HW的完整攻击链条

最终确定是6006这个端口为 D:/LCREMS/####2019 映射站点

进行一个快捷访问

记录一次地级市HW的完整攻击链条

访问6006的目标端口发现是个oa系统的登录平台,在里面搜索文件,东西很多,但是没啥用,最后发现一个敏感文件

记录一次地级市HW的完整攻击链条

XML格式的文件可以直接访问

里面泄露了数据库连接的配置文件和默认用户密码

CMD5解密一下

记录一次地级市HW的完整攻击链条

登录直接是管理员权限

记录一次地级市HW的完整攻击链条

gogogo进入后台了

找了个文件上传,它没有做任何的过滤,简简单单传了个冰蝎马转CS提权至system,这次打点就结束了。

记录一次地级市HW的完整攻击链条记录一次地级市HW的完整攻击链条

0x03内网渗透

通过在本机上进行信息收集发现不在域内,通过配置文件拿下几台数据库服务器,随后在C段内信息收集意外发现两台集群服务器。

其中存在几个主机端口存在登录界面,尝试弱口令爆破,在这就不做一一介绍了。

关键是扫到了VMware vsphere服务集群,这两个集群服务器均是root权限,可以控制大量虚拟机。

首先对目标进行一个信息的搜集,在C段发现两台vmware esxi 查看版本发现是比较老的版本,猜测应该是存在CVE-2021-22005

记录一次地级市HW的完整攻击链条

CVE-2021-21985 是vCenter远程代码执行漏洞,可以允许未经身份认证的用户调用bean里的任意方法,调用恶意方法进行代码执行。

poc检测一下漏洞存在,直接上EXP试试

记录一次地级市HW的完整攻击链条

访问该地址发现成功写上了

记录一次地级市HW的完整攻击链条

之后用冰蝎直接连接。在之后将/storage/db/vmware-vmdir/data.mdb下载下来利用vcenter_saml_login进行解密

解密网站:https://github.com/horizon3ai/vcenter_saml_login

记录一次地级市HW的完整攻击链条记录一次地级市HW的完整攻击链条

在浏览器内配置cookie进入esxi后台

(注意此处直接点进入会报错,要在本地配置hosts文件将跳转域名解析到该IP

记录一次地级市HW的完整攻击链条

修改cookie的操作如果从html5入口进入,发现cookie是空的且无法新增

记录一次地级市HW的完整攻击链条

于是进入第二个入口,可以进行修改新增

记录一次地级市HW的完整攻击链条

按照图中的配置并保存

记录一次地级市HW的完整攻击链条

保存后cookie还是会便会原来的,但此时突出在从第一个入口进入,即可进入后台

记录一次地级市HW的完整攻击链条

另一台也是相同的漏洞,按照如上原理,依旧拿下~

 

原文始发于微信公众号(弱口令安全实验室):老洞翻新——记录一次地级市HW的完整攻击链条

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月15日22:31:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记录一次地级市HW的完整攻击链条https://cn-sec.com/archives/1073734.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息