没什么技术含量但是有意思的一次。
这几篇豆是被高贵的奇安信编辑毙掉的,sorry~
. . . * . * 🌟 * . * . . .
1 | 入口即失败
外网点略过,入口linux一台,死活提不上权,还有一个ds_agent。
其实我一般是更乐意打linux的,虽然我linux命令学的比较烂,但linux有杀软的可能性是比较低的,也不会出现和运维抢机器的情况。
但linux目标也不是全都是好处,毕竟它没有RDP和其他远程软件,但凡有杀软且不能提权就会凉凉——也就是我现在遇到的这种尴尬情况。
2 | 尝试横向
俗话说,东边不亮西边亮。入口虽然不能干啥,但是好歹还有Web在。这一台打不了不如直接横向嘛。
由于有杀软,frp是用不了的,但可以使用基于web的webproxy,如neo-reg或suo5(有些AV连webshell也会杀,such as 火绒)。
做好代理后开始寻找突破点。由于fscan是不能在目标上落地的,最好还是先迁移到其它机器再使用fscan。
横向的最优先目标自然是数据库,毕竟你知道总是会有这么一台的,无论在哪,无论是哪一种,而其它服务不一定。
由于是Java站,使用find命令先找后缀,再在web目录下手翻。
find / -name *.proper*
find / -name *.yml
find / -name *.xml
find / -name *.conf*
也是很快就找到了配置文件一枚,不幸的是数据库在本机上:
真是命运的巧合,你在外网就站库分离,进来了就放一起- -。继续翻看配置文件,没有找到其他服务配置。
这下只能用fscan过代理强扫了,也就是本地使用fscan,代理到目标内网进行扫描。这种方式非常慢且流量大,属于下下之选。
./fscan -h 10.10.10.1/24 -p 21,1433,3389,6379 -t 5
由于我经常使用的getshell方式是redis和mssql(只能说是比较会这两个),就优先扫描这几个端口以寻求横向突破。只要能扫描到一台无杀软或超管权限机器即可。
3 | Redis横向
扫着扫着(大概是扫了半天)扫到好几台Redis未授权,果然天无绝人之路。Redis getshell有几种方法,主从在内网里用比较拉倒,我也不会;定时任务需要nc接一下,我不太喜欢用;写公钥是最简单的,而且上去就是root,符合横向的要求。
写公钥登录的具体方式我在这篇文章里写过,感兴趣的可以点进去看一下,记得点赞在看哦:
言归正传,写完公钥后直接以root身份登陆,ps一下果然也有AV。不过没关系,身为高贵的root用户卸个AV还是简简单单~
killall *ds_agent*
rm /route/to/dsagent
先杀进程再踹目录,一气呵成,这下没人打扰我愉快的内网大宝剑之路了^ ^。
4 | netspy扫出跨段
关门放狗扫了一阵,内网的分还是没拿满。看网卡也没有其他段的存在。但是直觉(AKA天眼查)告诉我这个内网应该远远不止这么大。
不知道往哪扫了,就直接上netspy吧。
netspy is
一阵扫之后发现了很恐怖的东西:
虽然所有段都集中在10.*下,但都要怀疑给我干到哪来了,真是超级大内网:
使用输出网段再次大宝剑,对能getshell的主机一个个getshell。由于后面的大宝剑是在横向机器做的,此时可以顺带证明一下跨段。
证明跨段之后自然是要再做一个二级代理,这里使用iox直接开了个s5端口:
iox proxy -l 8888
5 | mssql提权再次跨段
为什么说这一次经历非常有意思呢,主要还是因为这次碰上了苯萌新喜欢用的好几种方法,最后还能证明到网段。
不过这次跨段没有之前这么幸运,遇上了Windows10专业版和微软的AV,最后只能证明一下第三个段的存在。
这里使用SharpSQLTool进行提权,开一下cmdshell然后efspotato,直接上system:
然后回到cmdshell(能低权限尽量,权限太高也会有莫名其妙的问题),tasklist发现了高贵的忘记叫啥了反正是个微软的AV。
ipconfig发现有一张192.168的网卡,这肯定要试一下横向继续扫的:
顺手再看一眼版本:
systeminfo
挺好哒,心里死死哒- -。又不开web又是高版本又有AV,一时之间萌新不知道咋办了呀。就算不能横过去,起码这个跨段的分是需要拿到的。那么就得找一台此机器能ping通而第二台横向机器不能ping通(直接说,就是一台192.168)的机器。
最后灵光一闪,直接:
arp -a
找到地址直接ping提交。
原文始发于微信公众号(重生之成为赛博女保安):小记一次跨段段段内网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论