某次重要攻防演练细节打点到攻陷内网分享

1. 外网打点：*******-若依系统权限获取

2.

获取到*********有限公司（ip:**********）多个主机权限和后台权限

后台权限：10.0.***.**:8848/nacos/#/

10.0.***.***（服务器权限）

10.0.**.**（服务器权限）

10.0.***.**（服务器权限）

10.0.***.***（服务器权限）

ftp:10.0.***.***:21

mysql:10.0.***.***:3306 root/123456（数据库权限）

ssh:10.0.***.** root 123456（服务器权限）

redis:10.0.***.**:6379  ********* (数据库权限)

mysql:10.0.***.***:3306 root/********（数据库权限）

内网邮箱接管

漏洞情况说明

漏洞url:

https://***************/jeecg-boot/actuator/httptrace

记录了登陆记录,等等，获取到身份凭证

X-Access-Token: eyJ0eXAiOiJKV1QiLCJhbG**************************JleHAiOjE2O**********VzZXJuYW1lIjoiUTM0OTUifQ.Ly8Ql0GK************************hDoncrd684

去访问接口，泄漏了大量的敏感信息

登陆返回数据包构造如下：

{"success":true,"message":"登录成功","code":200,"result":{"token":"eyJ0eX************TEwMjYsInVzZXJ***********Ql0G************mHazZ-SrWV*****d684","userInf********************************************}

最后创建了一个管理用户：

test/*****************

成果信息：

获取到*********有限公司（ip:**********）多个主机权限和后台权限

后台权限：10.0.***.**:8848/nacos/#/

10.0.***.***（服务器权限）

10.0.**.**（服务器权限）

10.0.***.**（服务器权限）

10.0.***.***（服务器权限）

ftp:10.0.***.***:21

mysql:10.0.***.***:3306 root/123456（数据库权限）

ssh:10.0.***.** root 123456（服务器权限）

redis:10.0.***.**:6379  ********* (数据库权限)

mysql:10.0.***.***:3306 root/********（数据库权限）

内网邮箱接管

账号密码登陆：

root/123456

漏洞情况说明

通过边缘机获得内网机器（10.0.***.***）权限，当作跳板机在内网B段（10.0.***.***/16）网络中扫描发现内网堡垒机以及多个漏洞，证明突破网络边界。

内网中有多个重要资产站点，截图如下：

Nacos弱口令

nacos/nacos

获得FTP权限

SSH获得Root权限

root/******

10.0.***.***

利用MS17-010登录远程桌面并获得administrator权限

利用MS17-010登录远程桌面并获得administrator权限

10.0.***.***

利用MS17-010登录远程桌面并获得administrator权限

密码：**********（mimakatz dump 超级弱口令撞库）

结合Chatgpt AI，针对性设计话术进行姜子牙进攻，当时忘了没截图，用一下其他实战的截图示意

隐藏系统用户

使用使用net命令创建：在用户名后添加“$”，可以创建隐藏账户，这时使用“net user”无法发现隐藏用户，但是可以从控制面板查看。

通过注册表克隆用户：通过注册表克隆用户，那么使用命令和控制面板查看都无法发现此类用户。

Shift后门

利用Shift后门进行权限维持是一种比较经典的权限维持方法，可以使用“cmd.exe”将C盘Windows目录下面的“system32”文件里面的“sethc.exe”替换掉，之后无须登录系统，直接按5次Shift键便可以弹出cmd窗口，可直接以System权限执行系统命令、创建管理员用户、登录服务器等。

启动项

Windows下有很多自动启动程序的方法，可以利用这些方法来进行权限维持，例如可以运行“gpedit.msc”进入本地组策略，通过Windows设置的脚本（启动/关机/登录/注销）来设置权限维持脚本启动，也可以通过修改注册表自启动键值添加维权脚本路径，从而实现自启动，或是直接将权限维持脚本放入开机启动文件夹来实现自启动。

计划任务

在Windows中通常用“at”和“schtasks”命令添加计划任务，计划任务可以使系统管理员在特定的日期和时间执行程序或脚本，因此可以通过计划任务来运行权限维持脚本，例如运行“at 22:00 /every:M,T,W,Th,F,S,Su C:exp.exe”命令每天自动执行“exp.exe”。

隐藏文件

上传的木马后门为了避免被发现，可以使用“attrib”命令将文件隐藏，“+s”用于设置系统属性，“+h”用于设置隐藏属性。

创建服务

通过“sc”命令创建新的服务来进行权限维持也是一种比较经典的方式，结合powershell还可以实现无文件后门

隐藏运行窗口

Start-Process -WindowStyle hidden -FilePath "运行的内容"

powershell设置定时启动程序

Register-ScheduledTask -TaskName "OpenCalculator" -Trigger (New-ScheduledTaskTrigger -Once -At "2023-08-04 18:00") -Action (New-ScheduledTaskAction -Execute "calc.exe")