某地级市攻防演练红队渗透总结

admin 2023年11月2日02:33:51评论37 views字数 3056阅读10分11秒阅读模式

免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

由于HW中涉及的目标都很敏感,故本文截图较少,且都已进行脱敏处理。有些内容可能不太完整,望见谅~就拿得分最高也是最有意思的一个目标来做下复盘吧,整个的攻击过程和方法是这样的:

1

web打点

目标是一个asp.net的网站,能解析asp,aspx代码,访问时就只能看到一个登录框。大佬A的一顿操作发现了未授权访问(算是0day了吧,采用此程序搭建的其他系统都存在这个问题,且似乎只有我们团队发现了这个),此程序存在未授权用户查看、添加、编辑和删除。通过未授权访问用户修改界面(用户uid=1), 可以看到密码已填充,以*号显示,通过前端代码可以查看到明文,于是获得后台管理员账号密码并成功登录,获得200分。

在未授权用户编辑界面有一个上传头像的功能,此处存在文件上传漏洞,上传图片马,burp抓包将后缀改为asp即可绕过,返回状态码为500,但实际上文件是上传成功了的。

这是怎么知道文件上传成功了的呢?通过目录遍历漏洞找到文件上传路径:某地级市攻防演练红队渗透总结

通过时间比对找到我们上传的木马文件是哪个,接下来就是常规操作,用蚁剑连接成功。又获得200分!

不得不说,未授权访问-->文件上传-->目录遍历-->拿到webshell,大佬A强啊!!!

2

反弹shell(失败)

拿到的是一个IIS权限,自然是要反弹到Metasploit、CobaltStrike这类集成框架来进行后渗透、提权打内网了(虽然内网也没啥主机,但就是想打)。执行Systeminfo查看到是一台winserver 2012 R2的服务器,打了153个补丁,通过执行tasklist /svc查看当前主机上运行的进程,将结果拷贝到在线杀软识别平台进行比对,发现目标主机上装了360。

某地级市攻防演练红队渗透总结

感觉有戏,于是我之前花了两天研究的C语言免杀派上用场了,上传了免杀360的马,是shellcode分离免杀的,目标上提示命令执行成功但没反弹回来,但在自己环境中能执行上线。不是被拦截原因,后面有场景会说明(相信有大佬大概知道什么原因了)。反弹失败,还是我菜的原因啊~

3

信息搜集/数据库提权

通过信息收集,发现了这套程序还搭建在了其他目标上,于是大佬A又用之前的方法拿到了一台主机的webshell,通过比对,发现装了火绒。

某地级市攻防演练红队渗透总结

于是再次用我的免杀马尝试CobaltStrike上线,这次成功了!!!

某地级市攻防演练红队渗透总结

接下来提权,拿到的也是一台winserver 2012 R2的服务器,打了150个补丁,我加载了taowu和Lodan插件(20211024版,应该是开源的最后一版了吧),试过了里面常用的提权插件都未成功,烂土豆提权失败,因为条件不满足;ms14-058反弹回来的是一样的权限。(这是拿到数据库服务器,演练快结束时的事了:将会话移交给MSF,使用MSF内置的CVE-2020-0787提权未成功,使用post/windows/gather/enum_patches模块来收集补丁信息,显示补丁都是在2021.12.1日打的;使用post/multi/recon/local_exploit_suggester 来查询哪些EXP可用,并没有显示有可用EXP。)

陷入窘境,大佬B通过信息收集翻到了数据库配置文件,原来这是一台站库分离的系统,数据库在另外一台外网服务器上(阿里云服务器),配置文件中泄露了数据库服务器IP,端口,账号,密码,为SA权限,使用Navicat尝试连接,居然成功了!!! 获得400分
大佬C立马来个xp_cmdshell提权,成功拿到System权限,再获得200分!

某地级市攻防演练红队渗透总结

System权限是在数据库中,为了方便接下来的渗透,思路是将System权限上线到CobaltStrike上,在此处执行了从自己的VPS上下载免杀木马并执行的操作,显示执行成功,但并未上线。猜测这是台阿里云的ECS,对出站端口进行了限制,所以反弹不回来。

4

拿下数据云

Shell反弹不回来,就不能对云服务器做更好的控制,不能算完全拿下,于是在大佬D的指导下,利用System权限创建一个管理员账户,然后3389远程桌面连接(没错3389开着,还没对连接地址做限制),再利用Procdump+mimikatz获取到Administrator账户的明文密码。(因为是win2008的服务器,所以可以获取到明文密码,08之后的服务器获取到的就是密文的了)。这样才算是完全控制了这台云服务器。

为了探究为什么执行木马的命令提示成功了,但shell却没反弹回来的真正原因,在图形化下的 cmd窗口执行木马,惊人发现:提示缺少了某140D.dll,这才恍然大悟,这情况去年做python免杀实验时也遇到过,原来这是生成exe文件时的配置问题,当我们生成Release版本的时候,运行库选择MT;当生成Debug版本时,运行库选择MTD。不然的话就会造成在自己电脑上执行没问题,但在其他电脑上执行可能会提示缺少dll文件。于是重新生成了木马,再次在Navicat里执行,它居然上线了!它上线了!上线了!

某地级市攻防演练红队渗透总结

真实作战环境,看到自己的CobaltStrike上线了一台System权限的主机,就感觉很刺激~

某地级市攻防演练红队渗透总结

那之前有360防护的那台,是不是也是这个原因了,于是重新生成了木马,但传上去提示500错误,怎么肥事?后来在自己的虚拟机里用360查杀了下( 正经人谁会在自己物理机上装360,狗头),我的马已经不免杀了,因为距离上次传的马,已经过了一天了。

5

内网横向

接下来自然是横向移动了,由于这是台存储数据的服务器(内网地址10.26.179.186),猜测这应该是个数据库段,要是把内网整个拿下,那分数不得蹭蹭往上涨,在进行了常规的端口扫描之后(扫描中提示可能有防火墙),发现确实存在好几台内网机器,且基本都开放的80,443端口,一两台还开放了21,22端口。咦?不对呀,内网横向常见的135,139,445端口没了?那只能通过内网的web渗透来拿权限了?于是搭建了个代理,在本机上挂上代理通过浏览器去逐个访问网站,不对呀,与HW完全不搭边呐,都是别的地方的东西,还有个个人博客,通过admin/123456进入了后台。我看刑,有判头。

某地级市攻防演练红队渗透总结

至此,裁判评分:

某地级市攻防演练红队渗透总结

打得这么辛苦,就1000分?

6

进入IOT

大佬B再次对拿下的云服务器进行信息收集,远程登录Administrator账户,通过谷歌浏览器收集到了访问某个站点的账号密码,是个单点登录,登录进去看到了这样的字眼:登录成功,您已成功登录中央认证系统。又通过服务器上的向日葵远控到另一台主机,上面还显示着某些运行情况。
裁判评分:

某地级市攻防演练红队渗透总结

看到这个IOT整个团队一开始都有点懵的,后面想明白了,这个数据库服务器是很多个系统的数据存放地,可以说是个集群数据库了,有20多个G,而向日葵又远程着另一台服务器,上面监控着运行情况。

7

境外攻击

当我在复盘此次HW攻击过程时,在与大佬B交流过程中,他说他当时通过netstat发现了一个与美国的连接,还将连接情况本地保存了一下,我瞬间感觉有点不太妙,查了下这个ip:

某地级市攻防演练红队渗透总结

通过威胁情报中心查询到的结果:

某地级市攻防演练红队渗透总结

某地级市攻防演练红队渗透总结

某地级市攻防演练红队渗透总结

立即将情况上报给警官,维护国家网络安全,人人有责!

文章作者:walker1995

文章来源:无影安全实验室

原文始发于微信公众号(李白你好):某地级市攻防演练红队渗透总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月2日02:33:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某地级市攻防演练红队渗透总结https://cn-sec.com/archives/2167538.html

发表评论

匿名网友 填写信息