记一次利用堡垒机内部邮件钓鱼突破外网

admin 2025年1月10日22:04:49评论7 views字数 1499阅读4分59秒阅读模式
本文由掌控安全学院 - flysheep 投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

全国越来越多行业客户采用堡垒机+VPN远程连接方式接入企业内网,实现安全高效办公。此次攻防演练中我们的目标单位是一家国有事业单位。本文详细记录了突破外网进而攻陷内网的全过程,希望对各位大佬提高技战术水平有所启发。

故事的缘起

亲,你知道K3堡垒机么?
不知道?好吧,我也不知道。。。才怪。。。哈哈
开局是一个天翼应用虚拟化系统,我们通过组合弱口令:单位名称简写+@+常规弱口令,大概尝试了十几次居然进去了,奇迹啊哈哈哈(当然,也可能是缘分啦)!!!

记一次利用堡垒机内部邮件钓鱼突破外网

然后通过该web系统登陆到K3堡垒机里面,通过基础的配置菜单查看管理用户情况,可以看到如图所示,可操作K3单点登陆系统所有账户,共11个。但是因为是第一次遇到该堡垒机系统,所以如何利用K3堡垒机获取shell确实一头雾水。

记一次利用堡垒机内部邮件钓鱼突破外网

该堡垒机还具有财务管理功能:

记一次利用堡垒机内部邮件钓鱼突破外网

外网突破

耗费了几个小时的时间,在多次尝试依然进展的情况下,我请教了队里的大神”红胡子”。他盯着电脑屏幕看了半天憋出了2个字:内部邮件钓鱼。我立刻心领神会的给他树了个大拇指,牛!

于是我把木马打成压缩包,以财务主管的身份给部门里多个人员发送了邮件,要求其阅读内容。

记一次利用堡垒机内部邮件钓鱼突破外网

等了几个小时后,CS没有收到上线马子,难道我的马不行么,抱着这种疑惑,我又新增一个测试账户,直接给自己发送木马exe程序,看看能否成功。

记一次利用堡垒机内部邮件钓鱼突破外网

可以看到,我在本地利用K3系统调用堡垒机浏览器,成功下载木马文件,也可以执行上线

记一次利用堡垒机内部邮件钓鱼突破外网

既然没问题,那就是耐心等待有人利用下载恶意文件了。

皇天不负苦心人啊!

等了一晚上,第二天吃好饭一开机,就发现了多个上线木马,而且是系统管理员权限的:

记一次利用堡垒机内部邮件钓鱼突破外网

利用CS的MIMIKATZ模块成功抓取到系统密码:

记一次利用堡垒机内部邮件钓鱼突破外网下面就是突破网络逻辑强隔离进入内网了

内网横向

第一步就是利用frp搭建内网隐蔽隧道链路。
记一次利用堡垒机内部邮件钓鱼突破外网

记一次利用堡垒机内部邮件钓鱼突破外网

然后通过fscan快速进行内网信息搜集和漏洞扫描
很快发现某安全运营中心系统
记一次利用堡垒机内部邮件钓鱼突破外网

有意思的是,这里发现同一个ip下不同端口对应的不同web应用,一个是8443端口对应安全运营中心,一个是8080端口对应物料管理系统,而该系统采用java语言编写,存在struts2漏洞,利用工具能够直接rce
记一次利用堡垒机内部邮件钓鱼突破外网

获得系统权限后,打开3389端口并登录远程桌面:
记一次利用堡垒机内部邮件钓鱼突破外网

域内渗透

登录之前获取权限的主机的远程桌面,看看有没有什么好东西呀。结果在其中一台172.16.1.5主机上不看不知道,一看吓一跳,居然有域环境,哈哈哈,我最喜欢打这种域内横向了。
记一次利用堡垒机内部邮件钓鱼突破外网

第一步是上传bloodbound客户端搜集域内信息,然后把结果回传本地
记一次利用堡垒机内部邮件钓鱼突破外网

利用kali的bloodbound服务端解析,分析域内的薄弱环节,最终发现主机存在域管理员登录的缓存记录。这个缓存可以利用mimikatz抓取出明文密码。
记一次利用堡垒机内部邮件钓鱼突破外网

至此,拿下了域控,看看权限:
记一次利用堡垒机内部邮件钓鱼突破外网

有了管理员权限就可以对域内主机进行随意访问控制了,我们找到了靶标MIS,功能还是比较强大的
记一次利用堡垒机内部邮件钓鱼突破外网

也拿下了对应的数据库
记一次利用堡垒机内部邮件钓鱼突破外网

获得数据库服务器管理员权限,且为三网卡,通向三个网段:
记一次利用堡垒机内部邮件钓鱼突破外网

由于目标靶标已经拿到,而且各方面分数已经打满,裁判判定目标出局,就没有继续其他内部网段的攻击了。

总结

攻击链路:组合弱口令单位名称简写+@+常规弱口令进入堡垒机->内部邮件钓鱼上线CS->搭建frp隐蔽隧道进入内网->内网横向->域环境渗透->拿下靶标。
我认为企业不能过于依赖边界防护,轻视对于内网的安全管理,越来越多行业客户采用堡垒机+VPN远程连接方式接入企业内网,网络运维人员要及时排除内网重要信息系统漏洞。

原文始发于微信公众号(掌控安全EDU):记一次利用堡垒机内部邮件钓鱼突破外网

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月10日22:04:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次利用堡垒机内部邮件钓鱼突破外网https://cn-sec.com/archives/3615445.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息