某次重要攻防演练细节打点到攻陷内网分享

admin 2024年5月15日00:16:01评论26 views字数 3118阅读10分23秒阅读模式
01成果概述

成果概述:

1. 外网打点:*******-若依系统权限获取

2.

获取到*********有限公司(ip:**********)多个主机权限和后台权限

后台权限:10.0.***.**:8848/nacos/#/

10.0.***.***(服务器权限

10.0.**.**(服务器权限

10.0.***.**(服务器权限)

10.0.***.***(服务器权限)

ftp:10.0.***.***:21

mysql:10.0.***.***:3306 root/123456(数据库权限)

ssh:10.0.***.** root 123456(服务器权限)

redis:10.0.***.**:6379  ********* (数据库权限)

mysql:10.0.***.***:3306 root/********(数据库权限)

内网邮箱接管

02外网打点

通过jeecgboot功能 获取若依系统权限

漏洞情况说明

漏洞url:

https://***************/jeecg-boot/actuator/httptrace

记录了登陆记录,等等,获取到身份凭证

某次重要攻防演练细节打点到攻陷内网分享
通过构造身份凭证

X-Access-Token: eyJ0eXAiOiJKV1QiLCJhbG**************************JleHAiOjE2O**********VzZXJuYW1lIjoiUTM0OTUifQ.Ly8Ql0GK************************hDoncrd684

去访问接口,泄漏了大量的敏感信息

某次重要攻防演练细节打点到攻陷内网分享
还包括了数据库的配置账号密码等等

某次重要攻防演练细节打点到攻陷内网分享
最后通过测试,发现该凭证为管理员用户

某次重要攻防演练细节打点到攻陷内网分享
来到登陆页面

某次重要攻防演练细节打点到攻陷内网分享
通过数据包构造,成功登陆管理员账号

登陆返回数据包构造如下:

{"success":true,"message":"登录成功","code":200,"result":{"token":"eyJ0eX************TEwMjYsInVzZXJ***********Ql0G************mHazZ-SrWV*****d684","userInf********************************************}

某次重要攻防演练细节打点到攻陷内网分享
泄露3k+敏感信息(不放截图了,放了也都是马赛克)

最后创建了一个管理用户:

test/*****************

某次重要攻防演练细节打点到攻陷内网分享
域名8080端口开放为ruoyi系统,若依系统默认使用mysql,这里猜测用的是本地数据库,进行查询。发现wechat库为ruoyi库

某次重要攻防演练细节打点到攻陷内网分享
通过jeecgboot后台的sql增强,添加ruoyi后台管理员

某次重要攻防演练细节打点到攻陷内网分享
若依后台

某次重要攻防演练细节打点到攻陷内网分享
默认高版本无法使用网上现有的攻击链ruoyi计划任务是插入到数据库的 ,通过jeecgboot修改ruoyi对应库计划任务的内容进行getshell

某次重要攻防演练细节打点到攻陷内网分享
03内网渗透

接分享(2),内网渗透部分

成果信息:

获取到*********有限公司(ip:**********)多个主机权限和后台权限

后台权限:10.0.***.**:8848/nacos/#/

10.0.***.***(服务器权限)

10.0.**.**(服务器权限)

10.0.***.**(服务器权限)

10.0.***.***(服务器权限)

ftp:10.0.***.***:21

mysql:10.0.***.***:3306 root/123456(数据库权限)

ssh:10.0.***.** root 123456(服务器权限)

redis:10.0.***.**:6379  ********* (数据库权限)

mysql:10.0.***.***:3306 root/********(数据库权限)

内网邮箱接管

某次重要攻防演练细节打点到攻陷内网分享
利用边界机扫B段(10.0.***.**/16)获得内网资产,获得多个主机权限,FTP权限和数据库权限

账号密码登陆:

root/123456

某次重要攻防演练细节打点到攻陷内网分享
突破业务内网的网络边界

漏洞情况说明

通过边缘机获得内网机器(10.0.***.***)权限,当作跳板机在内网B段(10.0.***.***/16)网络中扫描发现内网堡垒机以及多个漏洞,证明突破网络边界。

内网中有多个重要资产站点,截图如下:

Nacos弱口令

nacos/nacos

某次重要攻防演练细节打点到攻陷内网分享
某次重要攻防演练细节打点到攻陷内网分享
10.0.***.***:21

获得FTP权限

某次重要攻防演练细节打点到攻陷内网分享
某次重要攻防演练细节打点到攻陷内网分享
10.0.***.**

SSH获得Root权限

root/******

10.0.***.***

利用MS17-010登录远程桌面并获得administrator权限

某次重要攻防演练细节打点到攻陷内网分享
某次重要攻防演练细节打点到攻陷内网分享
10.0.***.***

利用MS17-010登录远程桌面并获得administrator权限

10.0.***.***

利用MS17-010登录远程桌面并获得administrator权限

某次重要攻防演练细节打点到攻陷内网分享
某次重要攻防演练细节打点到攻陷内网分享
redis数据库权限

密码:**********(mimakatz dump 超级弱口令撞库)

某次重要攻防演练细节打点到攻陷内网分享
接管邮箱:

某次重要攻防演练细节打点到攻陷内网分享
泄露机密文件*n   不截图了

04

内网化身姜子牙钓鱼(另类红队技战法)

拿到了邮箱,就可以钓个人pc、工作机了,证明能通内网就有分数刷,而且肯定会有数据分(你懂的)

结合Chatgpt AI,针对性设计话术进行姜子牙进攻,当时忘了没截图,用一下其他实战的截图示意

某次重要攻防演练细节打点到攻陷内网分享
某次重要攻防演练细节打点到攻陷内网分享
05

实战中常用的权限维持

在攻防演练时必然会有防守方,那么做好隐蔽免杀工作与权限维持则是必须的,以下是常见的,具体操作可以百度

隐藏系统用户

使用使用net命令创建:在用户名后添加“$”,可以创建隐藏账户,这时使用“net user”无法发现隐藏用户,但是可以从控制面板查看。

通过注册表克隆用户:通过注册表克隆用户,那么使用命令和控制面板查看都无法发现此类用户。

Shift后门

利用Shift后门进行权限维持是一种比较经典的权限维持方法,可以使用“cmd.exe”将C盘Windows目录下面的“system32”文件里面的“sethc.exe”替换掉,之后无须登录系统,直接按5次Shift键便可以弹出cmd窗口,可直接以System权限执行系统命令、创建管理员用户、登录服务器等。

启动项

Windows下有很多自动启动程序的方法,可以利用这些方法来进行权限维持,例如可以运行“gpedit.msc”进入本地组策略,通过Windows设置的脚本(启动/关机/登录/注销)来设置权限维持脚本启动,也可以通过修改注册表自启动键值添加维权脚本路径,从而实现自启动,或是直接将权限维持脚本放入开机启动文件夹来实现自启动。

计划任务

在Windows中通常用“at”和“schtasks”命令添加计划任务,计划任务可以使系统管理员在特定的日期和时间执行程序或脚本,因此可以通过计划任务来运行权限维持脚本,例如运行“at 22:00 /every:M,T,W,Th,F,S,Su C:exp.exe”命令每天自动执行“exp.exe”。

隐藏文件

上传的木马后门为了避免被发现,可以使用“attrib”命令将文件隐藏,“+s”用于设置系统属性,“+h”用于设置隐藏属性。

创建服务

通过“sc”命令创建新的服务来进行权限维持也是一种比较经典的方式,结合powershell还可以实现无文件后门

隐藏运行窗口

Start-Process -WindowStyle hidden -FilePath "运行的内容"

powershell设置定时启动程序

Register-ScheduledTask -TaskName "OpenCalculator" -Trigger (New-ScheduledTaskTrigger -Once -At "2023-08-04 18:00") -Action (New-ScheduledTaskAction -Execute "calc.exe")

 

某次重要攻防演练细节打点到攻陷内网分享

原文始发于微信公众号(黑熊安全):某次重要攻防演练细节打点到攻陷内网分享

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月15日00:16:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某次重要攻防演练细节打点到攻陷内网分享http://cn-sec.com/archives/2052490.html

发表评论

匿名网友 填写信息