www.SecPulse.com [aa.bb.cc.138] 主站

　　gonghui.SecPulse.com [aa.bb.cc.146] 工会网站

　　iwf.SecPulse.com [aa.bb.cc.144] OA系统

　　mail.SecPulse.com [aa.bb.cc.132] 邮件系统

　　meet.SecPulse.com [aa.bb.cc.135] 会议系统

　　uatmcms.SecPulse.com [aa.bb.cc.139] 会员合规管理系统

　　tradeweb1.SecPulse.com [aa.bb.dd.5] 交易系统

　　jy.SecPulse.com [aa.bb.dd.7] 交易管理系统

　　kpi.SecPulse.com [ee.ff.gg.137] 总裁决策信息平台

　　www.cms-SecPulse.com [ee.ff.gg.145] 网上开户系统

　　update.SecPulse.com [ee.ff.gg.141] 软件更新系统

　　https://ee.ff.gg.143 会员业务支撑系统

　　注：为保证隐私 域名全部换成了SecPulse

　　

　　弱口令开篇

　　WEB沦陷

　　内网渗透

　　总结与建议

　　1、邮件系统：

　　https://mail.SecPulse.com/

　　谷歌加the harvester收集到一些邮箱 尝试弱口令猜解

　　c**r / 11111111

　　k***u / 11111111

　　xx***ngbu / 11111111

　　

　　owa进去后分分钟利用脚本获取通讯录和公司组织架构，为后续突破做更好准备。

　　2、OA系统：

　　https://iwf.SecPulse.com/

　　c**r/12345678

　　

　　3、会员合规管理系统:

　　http://uatmcms.SecPulse.com

　　admin/admin

　　

　　4、会议系统：

　　http://ee.ff.gg.137/

　　PO *** COM/PO *** COM

　　

　　我做测试的之一件事就是分析 *** 结构找连接内网的段 根据ip分部情况，大概确定内网所在段。然后找某某目标开始入手

　　很荣幸其中员工oa系统就是属于内外网

　　https://iwf.SecPulse.com/iWorkflowPortal/ 弱口令成功登录

　　c*/12345678

　　https://iwf.SecPulse.com/iworkflowportal/HRreq/HRAflReq.aspxProcessGroupID=170&ProcessID=8&ProjectID=84&DepartmentID=6

　　员工请假申请处，用户可上传附件

　　

　　经测试可以上传cer、asa格式的webshell文件：

　　

　　还是使用菜刀一句话WEBSHELL 但是需要用户登录验证的

　　这里有个菜刀小技巧

　　HTTP登录验证

　　SHELL地址这样填 http://user:/server.asp

　　用户名密码中的特殊字符可用URL编码转换。

　　此服务器在内网，鲜明的P496让我不禁联想到响亮的94P7

　　

　　同时此服务器在域里

　　

　　由于系统补丁只打到2014年9月，利用2014年10月份提权漏洞 ，成功获得系统权限。

　　

　　抓取系统HASH和管理员明文密码：

　　

　　查看OA系统配置文件，找到连接内网数据库SA密码：

　　

　　Webshell中连接内网数据库:

　　

　　过程中遇到一个网闸系统 很多目标IP访问都有IP限制的 后来在OA数据库里面找到对应的SourceIP和DestIP以及允许的安全访问的端口。

　　读取OA数据库中防火墙配置相关信息：

　　

　　执行sql语句恢复XP_CMDSHELL存储过程：

　　EXECsp_configure'showadvancedoptions',1;RECONFIGURE;EXECsp_configure'xp_cmdshell',1;RECONFIGURE;

　　MSSQL2008恢复xp_cmdshell存储过程成功，执行系统命令，显示为network权限。

　　这台数据库同样在域里

　　

　　同样系统补丁更新不及时，这里利用2014年10月份的提权漏洞，成功提升为系统权限

　　先和OA服务器建立ipc连接，用以从OA服务器拷贝提权工具到数据库服务器:

　　EXECmaster..xp_cmdshell'netuse\\10.**.1.100\ipc$"Password01!"/user:"P496\Administrator"'

　　

　　拷贝工具到内网数据库服务器：

　　

　　数据库服务器提权并抓HASH

　　

　　抓明文密码

　　

　　其中不乏有域管理员

　　域管理员有哪些呢？一条命令就看到了：

　　net group "domain admins" /domain

　　【此简单命令只能在域内执行】

　　

　　现在可以尝试用获取的域管密码，连接域控服务器、邮件服务器等

　　

　　成功IPC连接邮件服务器：

　　

　　然后拷贝提权工具和抓HASH工具到邮件服务器， *** 同上（先建立ipc连接再copy）

　　把提权抓HASH的命令写入批处理文件c:\windows asks\1.bat

　　C:\windows asks\win2.exew2.exe-l>C:\windows asks\hash.txt

　　使用计划任务执行批处理1.bat

　　

　　可以看到成功抓到数以百计的域用户HASH：

　　

　　当然，这种NTLM HASH可以秒破密码，安全脉搏自己的md5也支持NT Hash或者LM Hash的解密查询~

　　HASH破解网站：https://www.objectif-securite.ch/en/ophcrack.php

　　用破解的k**hu用户密码登录邮件系统，可以看到有15万多封邮件

　　

　　当然运维人员的邮箱干货比较多（比如各种配置， *** 拓扑、密码）！

　　运维人员有哪些呢？一条命令就知道了：

　　net group yunwei /domain

　　

　　以某同学的邮箱为例：

　　s**cf/Password01!

　　各种Oracle配置密码

　　

　　各种等级保护文件

　　

　　各种 *** 拓扑图

　　通过对该机构进行 *** 安全检测，获得了从WEB到内网域控的各种权限。

　　当然如果花更多时间，可以让整个内网系统沦陷。如下 *** 安全问题值得引起重视：

　　1、用户密码或网站系统密码弱口令现象普遍，比如邮件系统、OA系统、会议系统。

　　2、网站上架前入侵渗透测试不彻底，比如用户后台允许上传的文件类型过滤不全面。

　　3、MSSQL数据库使用SA账户，给入侵者恢复XP_CMDSHELL执行系统命令的机会。

　　4、系统补丁更新不及时，比如最新的2014年10月份MS14-058提权漏洞没有修补。

　　5、入侵检测系统没起作用，比如一些危险操作（抓HASH、IPC连接、大流量拷贝数据 等）没有进行阻断。

　　6、网闸系统配置有问题，机器之间访问没有限制得很死。比如数据库服务器和邮件服务器之间可以建立ipc连接。

　　7、内网系统密码通用性问题，比如网站配置文件中出现过Password01!，这个密码同 时也是很多域用户的密码。

　　8、从用户邮件里面可看到带木马钓鱼邮件，说明邮件网关防病毒、垃圾邮件功能不够。

　　9、不是所有机器都安装了杀软，比如OA服务器就没有杀软，导致提权、抓hash工具 能够直接运行。