WebVPN弱口令引发的内网沦陷

admin 2021年9月25日08:39:28WebVPN弱口令引发的内网沦陷已关闭评论338 views字数 942阅读3分8秒阅读模式

WebVPN

某次项目,通过信息搜集发现目标一处WebVPN

图片

通过组合口令跑出一个弱口令

图片

wangym/wangym@2019

图片

能访问的系统比较少,查看js文件获取到WebVPN转发URL的加密方式,尝试对内网进行扫描

图片

通过脚本实现批量扫描web端口

图片

扫描端口测试后,只发现个弱口令,卑微。。图片

登入后发现用户名组功能界面中有大量邮箱信息,规则为姓名全拼+工号。


准备钓鱼

通过发现的邮箱用户名规则进行组合,先枚举一波存在的用户名。web界面的邮箱系统有验证码和加密,通过imap协议进行枚举存在的邮箱用户。

图片

图片

发现目标邮箱,没有正确设置spf。

准备利用https://emkei.cz/伪造集团公司进行钓主机权限。

图片

因为时间比较紧,就没有对文案和被钓的人选进行仔细的打磨和筛选。

免杀马使用go的分离免杀实现,进行钓鱼。给自己发一个测试一下,虽然看着就很假,但要相信自己。

图片

避免上线后错过,添加上线后注入进程和方糖通知的cs脚本。第一波发给了系统中泄露的40个邮箱,等待上线。

硬刚系统

在等待鱼上钩的过程中接着测试系统,通过指纹在fofa上搜索相同的系统进行测试,看看有没有突破。

图片

找到一处存在任意文件上传的网站,用相同的接口在目标上进行测试。

图片

目标没有删除接口,很开心。

使用.htaccess马绕过黑名单限制getshell。内网IP为192.168.10.97,制作代理,搜集密码进行撞库,只成了一台windows(192.168.10.88)。

3389登上去来一手fscan,只扫到了一个ssh弱口令,但入口代理不能直接连接,通过端口转发突破隔离。

图片

通过端口转发后,突破隔离。

图片

内网获得了一些权限,还没触碰到比较核心的地方。这个时候,鱼儿上线了。

图片

搜索敏感文件,运气爆炸找到一个密码本。

图片

登入后发现核心交换机。

图片

登入核心交换机

图片

⾄此,这次渗透的⽬的达到了。在开放的系统较少的环境下,利用webvpn增大了测试面,结合过程中搜集到的人员信息进行钓鱼进入核心内网。

相关推荐: Github敏感信息查找

1-Github    GitHub是全球最大的代码托管平台,国内也有gitee之类的,查询方法技巧大同小异。不管是hackerone还是国内的src,在代码托管平台找敏感信息是最为简单和直接的,严重高危的代码大厂金额也给的很高,…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月25日08:39:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WebVPN弱口令引发的内网沦陷https://cn-sec.com/archives/550386.html