渗透之曲折的“内网上线”豪夺运维权限

然后就开始了艰难的内网上线之路

本来刚开始拿到shell很开心的，终于可以扫内网了

结果现实给我重重来了一拳

我们的马落地秒

Powershell脚本无权限访问

结果一执行tasklist才发现

服务器有条狗和卡巴斯基

不知什么原因（可能是卡巴斯基策略）

Powershell的脚本不能执行

所以只能通过exe来上线

但是exe的免杀我实在是菜菜

开始坐牢

故找了一堆公开的免杀项目

从C找到Python

又从Python找到Go最后找到Rust

结果都是同样

无法上线！

无聊又执行了一边tasklist

结果看到了一个神奇的exe

ToDesk！

突然想到能不能直接连上ToDesk进行上线呢？

说干就干

然后我看了自己电脑上的ToDesk，考虑可能密钥就在本地某个配置文件

果然ToDesk的密钥就在安装目录的config.ini下

但是密钥是加密过的，这又让我陷入难题了

遇事不决，百度一下！

然后发现早在去年，就已经有师傅通过ToDesk进行内网上线的操作了！

并且ToDesk每次启动都会去config.ini下面读取一遍密钥并解密显示在程序上

那是不是可以通过type把被攻陷主机的ToDesk的config.ini读取出来，拿到本地来解密呢？

说干就干！

通过执行

wmic process where name="ToDesk.exe" get processid,executablepath,name

获取到了Todesk的路径

再执行type进行读取config.ini的内容就可以拿到配置文件

在配置文件中clientid就是todesk的连接id

下面的tempAuthPassEx、authPassEx、passex就是加密后的密钥

将这3个被加密后的密钥拉到本地的config的tempAuthPassEx，然后打开todesk

就可以看到我们的临时密码已经变了

然后将这个密码拿去连接

连接成功，直接拿到运维权限！

接下来就是搭起隧道~

开始愉快的内网渗透~

1.拿到权限后，第一步就是先收集了一波信息。

结果大失所望

没有收集到比较有价值的信息

2.但是在桌面瞅到了QQ

随机开始联想

QQ会自动将图片和接收到文件都保存在QQ的默认路径下

那有没有可能

运维人员在和业主或者leader沟通的时候会传递什么敏感文件呢？

3.然后来到文档的路径直接开始直接搜索

*.jpg *.png *.txt *.doc *.xlx

搜了一波这些文件

然后出了意想不到的货

其他高校的堡垒机地址和账号密码

轻松拿下多个严重

最后也是再吐槽一下这次内网！

真是太恶心了！

全是罐子

简直是在罐子里面搭的内网！

祝师傅们，天天高危、日日0day！！！！！！！！！！！！！！！