实战|对某外企的一次内网渗透复盘

目标

https://www.xxxxxxx.net

外围打点

信息收集

1. 通过各种工具和在线网站，对子域名进行收集，并解析ip。
2. 发现主站存在CDN，使用fofa，搜索网站title、js等关键信息和子域名解析的ip对应的C段，发现真实ip。
   3, 对真实ip的ip段进行扫描，发现一台机器存在Weblogic中间件，使用exp进行测试，发现成功Getshell。

Getshell

http://xxx.xxx.xxx.xxx:9001/
weblogicCVE-2017-10271

权限维持

shell reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /f /v "dll" /t REG_SZ /d "rundll32 C:WindowsTemplog.dll start"

信息收集

没截图，懒得复现了。

xxx.COMAdministrator xxxxxx

• 明文密码和hash
• 域用户
• 域管理员
• 域机器
  域内机器大概有70-80台左右，属于一个小型的内网。
• 域控机器

这里忘记截图了。

• 各类密码搜集

  查看当前机器上安装的程序，如果有浏览器，那么就可以搜集浏览器的密码，如果有安装的数据库，也可以找数据库的配置文件，读取帐户密码，总之，要对每一台机器进行仔细地信息收集。微信搜索公众号：Linux技术迷，回复：linux 领取资料 。

这里也没有截图。

横向渗透

无法上线的原因：
1. 账号密码不对。
2. 该账户密码在目标机器上停用。
3. 存在杀软拦截横向渗透。

域渗透

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

• MAIN_FILESERVER机器
• ……

痕迹清理

• 常见日志
  HTML

  应用程序日志文件：%systemroot%system32configAppEvent.EVT;
  安全日志文件：%systemroot%system32configSecEvent.EVT;
  系统日志文件：%systemroot%system32configSysEvent.EVT;
  DNS日志默认位置：%sys temroot%system32config，默认文件大小512KB
  Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志;
  Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志;
  Scheduler服务日志默认位置：%sys temroot%schedlgu.txt;

  以上日志在注册表里的键：

1. 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。
2. Schedluler服务日志在注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

• wevtutil.exe

  支持系统：Win7及以上。
  不支持删除单条内容。

wevtutil el >1.txt

wevtutil qe /f:text "windows powershell"

wevtutil gli "windows powershell"

wevtutil cl "windows powershell"

攻击结果

总结

1. 外围打点，注重资产收集，真实ip的寻找、攻击面的扩大，平常要对各种0day进行收集，做好webshell的免杀，方便在项目中直接使用。
2. 内网渗透，注重对内网机器的信息收集和机器定位，流量代理（有可能被杀，可以二次开发一些流量代理工具），做好木马的免杀和权限维持，要有一套自己的内网渗透方法。
3. 域渗透，对各类域渗透的攻击手法和工具使用要熟悉，要判断当前在域的结构，如果拿不下域控，可以尝试对一些其余域内的重要服务器进行渗透，运气好直接就能拿到域管帐户密码，那么整个域就相当于直接拿下了。
4. 做好痕迹清理。

后记

如侵权请私聊我们删文

原文始发于微信公众号（黑白之道）：实战|对某外企的一次内网渗透复盘