0x01 前言
记一次对某集团的授权渗透,通过信息收集、历史漏洞利用和横向渗透等手段,成功拿下了目标集团的多个关键系统。通过子域名爆破、漏洞利用等方法,逐步渗透了内网环境。本测试已获授权,未授权千万不要进行任何测试行为。
末尾可领取挖洞资料文件
0x02 漏洞发现
对方集团域名为 xxx.com,没有发现什么问题,通过备案查询发现 xxx.cc 也归属于该集团,爆破子域名发现存在一个通达 OA,历史漏洞 sql注入获取 cookie,后台文件上传 getshell。
该域名应该是没有做过渗透测试的
拿到shell之后开始尝试上线cs,然后就是 mimikatz 抓取 hash,很幸运解密出了明文,但是不知道为什么上不了代理,而且是内网机器,映射到的公网,没法直接 3389,只好用 cs 自带的socks4代理先凑活一下,rdp了上去。
之后就是上了代理,开始对c段进行横向,发现了一堆弱口令以及未授权等刷分的洞,暂且不提,比较重要的是一个 confluence,众所周知攻防中最爱打的就是wiki了,因为总有好心的运维人员把一堆账号密码写上去,所以这次也是重点关注了 confluence,存在历史漏洞 CVE-XXX,我自己只打到了一个非交互的shell,操作很不方便,于是找了大师傅打了内存马。
打了memshell之后就去找了配置文件
发现是站库分离,数据库仅允许这台wiki的ip连接,就又通过写ssh公钥登录了上去,搭建了二层代理,连接了数据库
使用 123456 加密之后覆盖了管理员的密码,成功登录之后替换回原密码,至此成功登陆wiki
通过在wiki翻翻找找,也找到十几二十台云上的机器,但都没什么用
唯一有价值的线索是 发现了 10.9.X 这个新段,开扫,发现了vsphere,存在历史漏洞根据经验可以直接用CVE通用漏洞打,成功率很高,一番操作成功打入内存马
然后去找 date.mdb 文件,通过伪造 cookie 登录 vsphere
具体路径是Windows:
C:/ProgramData/VMware/vCenterServer/data/vmdird/data.mdb Linux: /storage/db/vmware-vmdir/data.mdb
找到之后利用脚本伪造 cookie,成功登陆 vsphere,至此渗透结束
0x03 最后
本次渗透这么顺利主要依赖于历史漏洞的利用,运气对于渗透来说,也真的非常重要。喜欢的师傅可以点赞转发支持一下谢谢!
0x04
原文始发于微信公众号(渗透安全HackTwo):记一次某*集团的授权渗透测试|挖洞技巧
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论