攻防演练之柳暗花明又一村

访客4年前黑客文章352

背景

某年的某个夏天,某单位需要做攻防演练,而且是全仿真的演练,只有客户名,没有任何资产信息。时间紧,任务重,于是我们兵分两路,一波人在远程从外围突破,我和另一个小伙则踏上了旅途,准备从内部来瓦解。

出师未捷险掉坑

红蓝对抗中,最爽的事儿是什么?当然是能直接连入目标的内网。我们进入单位后,首先就开始搜寻wifi,看是否有直接访问内网的可能。单位wifi应该是给客户临时用的,本身没有密码,使用手机号即可登录。

找了个角落,掏出电脑一番探测,结果发现访客wifi和内网完全不通。

没办法,我们只能另想出路。就像《我是谁:没有绝对安全的系统》说的一样:“人类才是更大的漏洞”。单位这么大,一定会有一些漏网之鱼的。于是我们尝试去寻找私搭的Wi-Fi,使用某wifi密码探测软件探测,走了两层楼,都没有发现可破解的wifi。到了三楼,终于发现一个提示可连接的。使用手机连接wifi后利用wifi分享功能得到wifi密码。密码强度还是很不错的,如果没有这个wifi密码探测软件,等破解出来我们的项目应该已经结束了。

掏出电脑蹲在门口,开启探测,发现虽然直接获取的是192开头的IP,但实际是能ping通内网的。刚开始扫描,就有里边的工作人员出来问我们在干嘛,还好我们俩都长得比较面善,蒙混过关,但也不得不撤离了。

发现不远处有个卫生间,但在卫生间内,连接的那个wifi信号不好,断断续续,只得暂时作罢。继续在楼里搜寻了一圈,未发现更多可用的Wi-Fi,决定还是从之前的那个Wi-Fi入手。多年的游戏经验告诉我,遇到打不过的boss,氪金升级装备可以使你变强。

返回酒店,找公司 *** 姐请求硬件支援, *** 姐听了我的需求后,快马加鞭的给我邮寄了一个大型装备过来,第二天收 *** 后重新返回现场,成功在卫生间连上了wifi,氪金的感觉真爽。

社工踹门真好使

有了装备的升级,顺利的连上wifi之后,重新扫描。同一网段的只有开网关的pc,和一个看起来像手机的设备。扫描发现,这台pc开了445和远程桌面。先用一个top1000的字典跑远程桌面,没成功。接着再去尝试永恒之蓝漏洞,发现也未能成功,怀疑是打了补丁。

偶然发现那台计算机的名称是叫**,猜测他的真名叫,然后直接谷歌找到该单位官网,发现有个专家介绍,由于计算机名是名字全拼,通过专家介绍确定有个叫***的工作人员过程并没有花费很多时间。

该工作人员还挺有名,还有百度百科。


又经过了一番搜索,成功找到了他的手机号,之后利用他的手机号得到了邮箱和SFZ信息。通过我们收集到的信息,组了个字典,再次去爆破远程桌面。

没想到竟然成功爆破进去了。看来生日相关的密码还真的是很多人的习惯。

登陆成功后,发现他的浏览器中保存了他们单位多个系统的密码,好几个系统都是用的他的 *** 号码或者和电脑的密码相同。

同时还发现该pc安装了TeamViewer,终于不需要再躲在厕所了,记下远程链接密码就回酒店去了。

一阵扫射陷僵局

凌晨2点左右,我直接连上了那台pc的TeamViewer。

我后面的工作打算都在这台电脑上面完成。从他浏览器的页面发现,他们内网的业务系统都在172.30.0.*段上面,所以我们开始对这个段做个详细的探测,通过信息收集,发现如下存活主机数量还挺多,同时各种服务也有不少。

简单的漏洞扫描发现虽然有一些开着445端口的服务器,但都不存在ms-17-010漏洞,爆破也就发现几个ftp弱口令。

查看ftp没有发现太多有用的信息

接着对信息收集得到几个web页面进行渗透,发现电子病历查询系统中存在SQL注入,判断后得出该注入权限过低,无法直接写shell,放弃该系统。

收集的信息中有一个oa系统,发现可以爆破

通过爆破进入oa系统,没有找到可以直接拿到webshell的方式,但发现存在越权漏洞,可以直接访问到管理员的配置页面。

其中一个页面泄露了敏感信息,可以直接显示出数据库和用户名

发现数据库都为sa权限,思考了一下,是否可以通过数据库提权,利用获取到的用户名和密码成功连接到数据库,数据库中泄露了不少个人信息

通过XP_CMDSHELL用来执行CMD命令,使用以下命令把xp_cmdshell顺利打开,接下来就是执行cmd命令了

命令执行成功

来看看权限,是mssqlserver权限,很明显被降权了,查看了其他几个数据库也是一样的结果,所以这个点也利用不了。

继续寻找突破口,在跳板pc上发现一个护理病历系统,并且发现是登录状态,猜测这个软件应该很多员工都安装了,于是想到从这个软件下手

通过逆向得到代码,查看代码,看看能不能对代码进行修改

可以修改

我的思路是,在软件中去种马,诱导工作人员去安装,这部分过于敏感就简单的描述一下。 通过跳板pc机浏览器历史记录,保存有邮件系统地址和用户名密码,登录邮件后在通讯录里面找到大量员工邮箱地址,接下来构造一封邮件,诱导员工下载更新该带有后门的软件,等到隔天晚上2点查看结果,上线了不少用户(由于他们的用户名很容易被逆向分析出目标单位,所以打码有点全,大家见笑了)

有$的密码是我后加的,当时他们要证明能不能对电脑进行实际操作,所以都添加了个用户名,用户名涉及到敏感信息所以也打码

通过对上线用户的分析,发现这些都是个人pc,系统上面特别干净,而且都是以administrator用户上线,电脑上只安装了一些和单位相关的软件,没有其他敏感信息,显示这都是单位统一配的办公电脑,虽然获取了这么多pc权限但是没有我想要的东西,到这里渗透陷入了僵局。

一个0day定乾坤

脑子现在没啥思路了,小学老师告诉我们,当你遇到一道题解到一半的时候,发现前面都风调雨顺,越到后面越迷茫的时候,可以忘掉之前做过的,重新开始,于是乎我又回头去翻ftp,无聊的翻了2个小时左右,发现了一份备份源码,于是乎下载了下来,先看下目录,发现是用的ThinkPHP框架,突然想到之前收集的信息中有一个web程序就是用thinkphp框架写的。

看了下框架的版本3.2.3 这个版本是有官方未修复的注入漏洞,我们先找到后台登录位置

直接就拼接字符串了省的我们去全局找了注入了 看看getValue *** 过滤了什么


满脸问号没看懂这段正则匹配的意义在那里,应该是想写匹配手机号登录的,注出数据是不可能了但可以利用万能密码登录进去

利用T-sql语言的运算符执行优先级达到的注入效果

来到后台先找上传功能

成功的找到了上传文件白名单功能,尝试增加php后缀,但实际上传的时候还是不能上传php文件,还是先看一下代码是怎么处理的

当遇到php后缀时直接跳过不过还好只进行了小写转换 可以利用上传php空格后缀文件绕过,虽然上传成功了但是.htaccess 限制了访问规制所以这个点还无法利用。

继续寻找,如果可以删除.htaccess 就可以成功访问木马文件,成功找到一个删除功能。

Member_info 的上传头像缩略图地址清除,也就是说这个Member_info表head_img字段可控就可以删除任何文件,先去找用户信息修改功能,果不其然。

自此成功访问删除.htaccess

该0day整个的利用链

1.后台万能密码登录

2.找到上传白名单功能添加php空格可上传后缀文件

3.前台个人头像处上传文件

4.利用前台用户修改功能修改自己的信息来篡改缓存头像地址

5.在访问前台上传头像功能 会删除用户的缩略图

通过0day成功拿到了webshell,终于撕开了一个口子

提权过程也很顺利,直接利用ms15-051添加用户得到服务器权限

抓了一下系统用户哈希,可能会暴露目标名称,打码。

利用该密码去跑了一遍开了3389的服务器,得出如下结果。

发现域控服务器也在列表中,立马登录172.30.0.1,但是登录不上,这就奇怪了,尝试登录其他服务器,可以成功登录,随意登录了2台,后面就不一一登录了。

我们的目标是域控,域控ip能ping通但是远程桌面连不上,扫了一下端口开放了3389,为什么爆破能爆破到,但是登录的时候登录不上,思考了一下忽略了一个细节,我爆破时候,是在172.30.0.52这台服务器爆破的,不是在pc跳板机上面爆破的,因此猜想域控服务器只能通过172.30.0.*段服务器做跳板连接,因此我随意选了一台服务器172.30.0.104成功登录了域控服务器。

结尾总结

拿下域控,项目基本结束,看似强大的外网都存在一个特别柔弱的内网,当你撕开外网这个强大的口子后,进入到内网面对的将是一堆弱不禁风的系统,但是这弱不禁风的系统看似很容易进入,但是你确偏偏进不去,只有当你突破这个意境后就能在内网行走自如。就如本文一样,想要通过外网访问内网,经过几番折腾,最后通过wifi这个薄弱点,成功来到了内网,到了内网后得到了一些系统密码,似乎胜券在握的你确发现又一道墙挡住了你的去路,这时你有2条路,一条路就是翻过这堵墙,第二条就是重新再找一条路。

本文就是如此,到达目标地点后,对目标周围环境进行侦查,经过侦查发现可以通过WiFi作为突破口成功打通进入内网的通道,经过对员工的信息收集成功控制某员工PC电脑。控制PC后通过分析他们内部用的办公软件并且种入后门,通过钓鱼等诱导方式,诱导员工更新带有后门的软件,成功上线一些安全意识较弱的员工,此时发现上线的员工电脑并无我们想要的东西,因此毫不犹豫放弃,另寻它路。又在尝试了各种漏洞无果后,回过头来对之前发现的漏洞仔细分析,寻找是否有遗漏的地方,经过耐心的分析和寻找,终于通过ftp泄露的网站源码成功挖掘出可以getshell的漏洞,成功利用该漏洞获取到服务器权限。因此成功打入内部核心系统拿到域控。

相关文章

黑客技术厉害吗(黑客真有那么厉害吗)

黑客技术厉害吗(黑客真有那么厉害吗)

本文导读目录: 1、现在黑客有那么厉害吗? 2、黑客很厉害吗 3、真正意义上的黑客,到底可以厉害到什么程度? 4、黑客厉害吗 5、程序员和黑客哪个更厉害? 6、黑客很厉害吗?...

前田庆次身高(本多忠胜vs前田庆次)

本多忠胜一米六五,前田庆次至少一米七以上,但不到一米八,真田幸村好像和本多忠胜差不多高度。 两个人很难比较。本多忠胜一生战功太多了,而且每场都很给力。如果没有忠胜,德川都不知道死多少次了。所以才被称为...

教你用手机查对方通话记录黑客_黑客教你3分钟找抖音

到了孕晚期,数胎动一定是非常非常重要的。觉得自己数的麻烦或者不精准的话,可以使用会自动数胎动的萌动,避免自己数胎动的误差。一般在孕28周,医生要求孕妇一天三次数胎动,直至生产。 胎动的原因:因为胎动能...

微信号5元一个自动发货_微信定位好友位置不让她知道

  我们都知道,世界三大乐器是钢琴、小提琴和古典吉他。   但大家有没有想过,为什么偏偏是这三样乐器,而不是别的乐器?   比如,有人学的是长笛,或者萨克斯,又或者是小号等等,那凭什么这些乐器不算是“...

《江南百景图》梅园需要多少积分?梅园用什么换?150点怎么得

《江南百景图》梅园需要多少积分?梅园用什么换?150点怎么得

江南百景图游戏当中有非常多的建筑物,其中梅园是版本更新之后上线的一款新的装饰建筑,需要玩家兑换才能获取到,那么江南百景图梅园要用什么换呢?玩家可能还不是很了解,所以接下来小编就给大家整理了《江南百景图...

卷米爱寿司总部电话是多少?了解细节要趁早

卷米爱寿司总部电话是多少?了解细节要趁早

美食是许多人都爱吃的,尤其是价值不贵的美食产物,更是受到了宽大消费者的接待,而寿司就是个中的一种了,寿司作为从海外传入进来的产物,从没有人知道,成长到此刻大街小巷处处都是加盟店肆的环境长短常的不容易的...