来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
全国越来越多行业客户采用堡垒机+VPN远程连接方式接入企业内网,实现安全高效办公。此次攻防演练中我们的目标单位是一家国有事业单位。本文详细记录了突破外网进而攻陷内网的全过程,希望对各位大佬提高技战术水平有所启发。
故事的缘起
亲,你知道K3堡垒机么?
不知道?好吧,我也不知道。。。才怪。。。哈哈
开局是一个天翼应用虚拟化系统,我们通过组合弱口令:单位名称简写+@+常规弱口令,大概尝试了十几次居然进去了,奇迹啊哈哈哈(当然,也可能是缘分啦)!!!
然后通过该web系统登陆到K3堡垒机里面,通过基础的配置菜单查看管理用户情况,可以看到如图所示,可操作K3单点登陆系统所有账户,共11个。但是因为是第一次遇到该堡垒机系统,所以如何利用K3堡垒机获取shell确实一头雾水。
该堡垒机还具有财务管理功能:
外网突破
耗费了几个小时的时间,在多次尝试依然进展的情况下,我请教了队里的大神”红胡子”。他盯着电脑屏幕看了半天憋出了2个字:内部邮件钓鱼。我立刻心领神会的给他树了个大拇指,牛!
于是我把木马打成压缩包,以财务主管的身份给部门里多个人员发送了邮件,要求其阅读内容。
等了几个小时后,CS没有收到上线马子,难道我的马不行么,抱着这种疑惑,我又新增一个测试账户,直接给自己发送木马exe程序,看看能否成功。
可以看到,我在本地利用K3系统调用堡垒机浏览器,成功下载木马文件,也可以执行上线
既然没问题,那就是耐心等待有人利用下载恶意文件了。
皇天不负苦心人啊!
等了一晚上,第二天吃好饭一开机,就发现了多个上线木马,而且是系统管理员权限的:
利用CS的MIMIKATZ模块成功抓取到系统密码:
下面就是突破网络逻辑强隔离进入内网了
内网横向
第一步就是利用frp搭建内网隐蔽隧道链路。
然后通过fscan快速进行内网信息搜集和漏洞扫描
很快发现某安全运营中心系统
有意思的是,这里发现同一个ip下不同端口对应的不同web应用,一个是8443端口对应安全运营中心,一个是8080端口对应物料管理系统,而该系统采用java语言编写,存在struts2漏洞,利用工具能够直接rce
获得系统权限后,打开3389端口并登录远程桌面:
域内渗透
登录之前获取权限的主机的远程桌面,看看有没有什么好东西呀。结果在其中一台172.16.1.5主机上不看不知道,一看吓一跳,居然有域环境,哈哈哈,我最喜欢打这种域内横向了。
第一步是上传bloodbound客户端搜集域内信息,然后把结果回传本地
利用kali的bloodbound服务端解析,分析域内的薄弱环节,最终发现主机存在域管理员登录的缓存记录。这个缓存可以利用mimikatz抓取出明文密码。
至此,拿下了域控,看看权限:
有了管理员权限就可以对域内主机进行随意访问控制了,我们找到了靶标MIS,功能还是比较强大的
也拿下了对应的数据库
获得数据库服务器管理员权限,且为三网卡,通向三个网段:
由于目标靶标已经拿到,而且各方面分数已经打满,裁判判定目标出局,就没有继续其他内部网段的攻击了。
总结
攻击链路:组合弱口令单位名称简写+@+常规弱口令进入堡垒机->内部邮件钓鱼上线CS->搭建frp隐蔽隧道进入内网->内网横向->域环境渗透->拿下靶标。
我认为企业不能过于依赖边界防护,轻视对于内网的安全管理,越来越多行业客户采用堡垒机+VPN远程连接方式接入企业内网,网络运维人员要及时排除内网重要信息系统漏洞。
原文始发于微信公众号(掌控安全EDU):记一次利用堡垒机内部邮件钓鱼突破外网
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论