文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!
背景:某次攻防演习,受邀作为攻击队参与。其中一个靶标是“拿下靶标的 xx审批系统 以及 官网控制权”。
0x01 通过地级市进入政务外网
靶标服务器通常存在于物理强隔离的机房中,再加上本次目标单位特殊,通过一次跨网段横向移动摸到靶标的可能性几乎为零,因此我们把目标聚焦于靶标所属的政务外网上。
(搜狗百科:政务外网与互联网是逻辑隔离,供非涉密及仅用,在地市级建有数据交换中心,可以将部分可山公开的信息转换至互联网区,供公众查阅。)
通过靶标单位在外网公开的业务,并没有找到入口点,于是我们进一步扩大范围,针对靶标单位的下属单位进行渗透,找到某综合服务平台存在弱口令。
虽然该平台涉及业务金额很大,功能齐全,但是并不在我们的靶标之内,所以必须尝试getshell后进行内网渗透。
很快找到了一处上传点,没有任何限制,成功上传aspx类型webshell成功getshell。
经过简单信息收集,获得如下关键信息:
1、双网卡主机,其中一张网卡通向我们想要进入的政务外网。
2、主机出网,于是建立socks5反向隧道成功进入政务外网。
0x02 摸到靶标,陷入困境
政务外网的资产繁多,有多个单位的服务搭建在上面。为了快速锁定靶标单位所在网段,我们通过扫描80端口,得到对应的web title,从中提取出每个单位对应的大致网段。
锁定靶标大致网段后,针对该网段进行常用端口、带POC的扫描。通过本次扫描,获得了一些进展:
1、发现了靶标入口,但仅仅是个web界面的登录入口,不存在弱口令、命令执行等漏洞,暂无头绪。
2、发现某平台存在shiro反序列化漏洞。
成功注入内存马,通过webshell管理工具进行信息收集,发现如下信息:
(1)主机不出网,通过端口映射映射到政务外网,存在物理隔离,通过扫描该内网发现没有后续渗透价值。
(2)通过对windows主机信息收集,使用navicat解密工具,发现部分数据库连接凭证。其中包含一个政务外网IP的MSSQL数据库连接凭证,通过MSSQL命令执行获取到数据库主机权限。
这里可以看到连接的是59开头的IP,但是通过ipconfig命令看到的却是192开头的内网IP,因此可以推断出该数据库搭建在某物理隔离的内网,通过端口映射将内网数据库端口映射到了政务外网IP的某个端口上。
这时便出现一个难题,如何突破这层边界进入到192开头的内网?
a) 主机不出网,无法搭建反向隧道。
b) 通过mssql命令执行获取权限,且存在端口映射,无法通过http协议建立正向隧道。
经过讨论,终于发现一处突破口:该数据库主机虽然不通外网,但是通政务外网,也就是我们进去的第一层IP为59开头的内网,而在第一天的渗透中我们已经掌握了大量政务外网中的权限,于是我们在政务外网已掌握权限的主机中挑选出一台绝佳的Linux主机,作为我们的C2服务器,成功在linux主机上搭建CS服务器和文件下载服务器。
此时又遇到了一个问题,目标主机上存在杀软,使用certutil下载文件被拦截,这时我祭出珍藏多年的bypass语句(双写certutil),成功绕过AV执行命令下载文件。
成功搭建代理隧道
exe木马存在兼容性问题,使用dll文件成功上线CS。
此时我们已经成功突破边界进入到二层内网(192),通过CS抓取主机密码,隧道打通后成功连入主机RDP。
桌面可以直接看到我们刚刚绕过的火绒,记录有vcenter密码的txt,还有vcenter的控制面板,成功拿下一个靶标。
此时还剩下另一个靶标,也就是之前刚进政务外网摸到web入口的那个界面,没有任何头绪,陷入僵局。
0x03 峰回路转 安全设备不安全
第三天,我们开始在二层内网继续漫游,通过很简单的手段获得了很多主机的权限,其中包括某个摄像头管理平台的权限,通过对摄像头画面的分析,我们发现此时所处的网段正是目标单位大厅所在的局域网。
与此同时,局域网内各种各样的设备、系统也都得到了访问权限,但是就是没有找到第二个靶标相关的权限。尽管成果重大,但还是感觉差了临门一脚,需要把另一个靶标拿下才算完全打穿,于是我们便开始了更为细致的的渗透。
终于,我们在一个安全设备取得了突破。
我们发现了某上网行为管理系统的web登录界面,而这个设备恰好前些年爆出过一个漏洞,可以构造url查看敏感信息,我们通过这个漏洞获取到了该系统的密码MD5并成功解出哈希。
翻了翻这个设备的使用手册,发现了该设备全流量监测日志功能的位置,指定过滤条件目的IP为第二个靶标web界面的IP,发现了登录的数据包,其中含有登录凭据。
终于,通过这个凭据进入了第二个靶标系统,直接拥有控制目标单位整个网站群的权限!
至此,目标单位2个靶标被拿下,完全打穿,收工下班。
路径梳理
1、以某下属单位作为入口,成功突破边界进入政务外网。
2、在政务外网中利用shiro反序列化拿下某平台。通过主机中泄露的配置文件,连上目标单位某数据库,通过数据库执行命令再次突破边界,进入目标单位内网。
3、在内网中通过公开漏洞,拿下部署在内网边界的“xx统一上网行为管理”。“xx统一上网行为管理”设备具有流量审计功能,利用该功能定向嗅探并提取内网员工终端访问政务外网靶标“xx群管理平台”的登录流量,获取到了管理平台管理员权限的账号密码,最终拿到靶标,接管整个站群。同时,还依赖“统一上网行为管理”设备嗅探到了多个相关系统的明文口令,迅速扩大了战果。
反思总结
1、政务外网存在逻辑隔离,很多单位员工认为其不通互联网,从而忽略了政务外网的网络安全。实际上政务外网也存在很多入口点,容易被不法分子利用。
2、进入政务外网后资产量非常大,漏洞也不少,通向多个内网,渗透工作量巨大。文中省略了很多我们攻击过程中绕的弯路,只选择了关键节点分享。如何快速找到靶标、确认哪些IP是目标单位资产,值得我们研究。
3、突破第二层边界时的环境是我目前遇到过最刁钻的网络环境,不出网+无法正向代理,绕来绕去才想到在第一层内网搭建C2服务器的办法。不过搭建时要注意保护服务器完整性和可用性,注意合法合规,及时报备。
4、最终突破靶标是借助了全流量安全设备的漏洞,一个安全设备反而导致了严重的安全问题,针对安全设备漏洞的防范不容小觑。
福利视频
笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品
https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374
技术交流
技术交流请加笔者微信:richardo1o1 (暗号:growing)
如果你是一个长期主义者,欢迎加入我的知识星球(优先查看这个链接,里面可能还有优惠券),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
往期回顾
原文: https://www.freebuf.com/articles/system/356258.html
原文始发于微信公众号(迪哥讲事):攻防演习之三天拿下官网站群
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论