www.SecPulse.com [aa.bb.cc.138] 主站
gonghui.SecPulse.com [aa.bb.cc.146] 工会网站
iwf.SecPulse.com [aa.bb.cc.144] OA系统
mail.SecPulse.com [aa.bb.cc.132] 邮件系统
meet.SecPulse.com [aa.bb.cc.135] 会议系统
uatmcms.SecPulse.com [aa.bb.cc.139] 会员合规管理系统
tradeweb1.SecPulse.com [aa.bb.dd.5] 交易系统
jy.SecPulse.com [aa.bb.dd.7] 交易管理系统
kpi.SecPulse.com [ee.ff.gg.137] 总裁决策信息平台
www.cms-SecPulse.com [ee.ff.gg.145] 网上开户系统
update.SecPulse.com [ee.ff.gg.141] 软件更新系统
https://ee.ff.gg.143 会员业务支撑系统
注:为保证隐私 域名全部换成了SecPulse
弱口令开篇
WEB沦陷
内网渗透
总结与建议
1、邮件系统:
https://mail.SecPulse.com/
谷歌加the harvester收集到一些邮箱 尝试弱口令猜解
c**r / 11111111
k***u / 11111111
xx***ngbu / 11111111
owa进去后分分钟利用脚本获取通讯录和公司组织架构,为后续突破做更好准备。
2、OA系统:
https://iwf.SecPulse.com/
c**r/12345678
3、会员合规管理系统:
http://uatmcms.SecPulse.com
admin/admin
4、会议系统:
http://ee.ff.gg.137/
PO *** COM/PO *** COM
我做测试的之一件事就是分析 *** 结构找连接内网的段 根据ip分部情况,大概确定内网所在段。然后找某某目标开始入手
很荣幸其中员工oa系统就是属于内外网
https://iwf.SecPulse.com/iWorkflowPortal/ 弱口令成功登录
c*/12345678
https://iwf.SecPulse.com/iworkflowportal/HRreq/HRAflReq.aspxProcessGroupID=170&ProcessID=8&ProjectID=84&DepartmentID=6
员工请假申请处,用户可上传附件
经测试可以上传cer、asa格式的webshell文件:
还是使用菜刀一句话WEBSHELL 但是需要用户登录验证的
这里有个菜刀小技巧
HTTP登录验证
SHELL地址这样填 http://user:/server.asp
用户名密码中的特殊字符可用URL编码转换。
此服务器在内网,鲜明的P496让我不禁联想到响亮的94P7
同时此服务器在域里
由于系统补丁只打到2014年9月,利用2014年10月份提权漏洞 ,成功获得系统权限。
抓取系统HASH和管理员明文密码:
查看OA系统配置文件,找到连接内网数据库SA密码:
Webshell中连接内网数据库:
过程中遇到一个网闸系统 很多目标IP访问都有IP限制的 后来在OA数据库里面找到对应的SourceIP和DestIP以及允许的安全访问的端口。
读取OA数据库中防火墙配置相关信息:
执行sql语句恢复XP_CMDSHELL存储过程:
EXECsp_configure'showadvancedoptions',1;RECONFIGURE;EXECsp_configure'xp_cmdshell',1;RECONFIGURE;
MSSQL2008恢复xp_cmdshell存储过程成功,执行系统命令,显示为network权限。
这台数据库同样在域里
同样系统补丁更新不及时,这里利用2014年10月份的提权漏洞,成功提升为系统权限
先和OA服务器建立ipc连接,用以从OA服务器拷贝提权工具到数据库服务器:
EXECmaster..xp_cmdshell'netuse\\10.**.1.100\ipc$"Password01!"/user:"P496\Administrator"'
拷贝工具到内网数据库服务器:
数据库服务器提权并抓HASH
抓明文密码
其中不乏有域管理员
域管理员有哪些呢?一条命令就看到了:
net group "domain admins" /domain
【此简单命令只能在域内执行】
现在可以尝试用获取的域管密码,连接域控服务器、邮件服务器等
成功IPC连接邮件服务器:
然后拷贝提权工具和抓HASH工具到邮件服务器, *** 同上(先建立ipc连接再copy)
把提权抓HASH的命令写入批处理文件c:\windows asks\1.bat
C:\windows asks\win2.exew2.exe-l>C:\windows asks\hash.txt
使用计划任务执行批处理1.bat
可以看到成功抓到数以百计的域用户HASH:
当然,这种NTLM HASH可以秒破密码,安全脉搏自己的md5也支持NT Hash或者LM Hash的解密查询~
HASH破解网站:https://www.objectif-securite.ch/en/ophcrack.php
用破解的k**hu用户密码登录邮件系统,可以看到有15万多封邮件
当然运维人员的邮箱干货比较多(比如各种配置, *** 拓扑、密码)!
运维人员有哪些呢?一条命令就知道了:
net group yunwei /domain
以某同学的邮箱为例:
s**cf/Password01!
各种Oracle配置密码
各种等级保护文件
各种 *** 拓扑图
通过对该机构进行 *** 安全检测,获得了从WEB到内网域控的各种权限。
当然如果花更多时间,可以让整个内网系统沦陷。如下 *** 安全问题值得引起重视:
1、用户密码或网站系统密码弱口令现象普遍,比如邮件系统、OA系统、会议系统。
2、网站上架前入侵渗透测试不彻底,比如用户后台允许上传的文件类型过滤不全面。
3、MSSQL数据库使用SA账户,给入侵者恢复XP_CMDSHELL执行系统命令的机会。
4、系统补丁更新不及时,比如最新的2014年10月份MS14-058提权漏洞没有修补。
5、入侵检测系统没起作用,比如一些危险操作(抓HASH、IPC连接、大流量拷贝数据 等)没有进行阻断。
6、网闸系统配置有问题,机器之间访问没有限制得很死。比如数据库服务器和邮件服务器之间可以建立ipc连接。
7、内网系统密码通用性问题,比如网站配置文件中出现过Password01!,这个密码同 时也是很多域用户的密码。
8、从用户邮件里面可看到带木马钓鱼邮件,说明邮件网关防病毒、垃圾邮件功能不够。
9、不是所有机器都安装了杀软,比如OA服务器就没有杀软,导致提权、抓hash工具 能够直接运行。
本文目录一览: 1、黑客攻防教学 2、中国黑客前5名分别是谁? 3、美国黑客 黑客攻防教学 中国黑客联盟 很不错的黑客网站-下面的是复制的,浏览了下写得还不错:或许你并不想成为一个黑客而...
蚂蚁庄园小课堂5月11日答题答案今天的问题是什么?5月11日小鸡宝宝考考你世界上是先有红绿灯还是先有汽车?如果正确回答就能获得180g小鸡的饲料哦。一起来看看蚂蚁庄园5月6日答案吧,小伙伴不要错过哦!...
看看你包内的透支卡正脸有木有集成ic?无论有木有有,下一次换的崭新的信用卡一定会有,由于据中央银行要求,自2015年1月1日起,各金融机构将已不新发售银行卡磁条。取代银行卡磁条、全方位应用芯片卡是全世...
日本厚生劳动省12日宣布,“钻石公主”号邮轮新增39例新冠肺炎确诊病例,另有1名检疫官确诊感染。 据日本共同社2月12日消息,厚劳省12日发布消息称,“钻石公主”号邮轮搭乘者中,新查明39人感染新冠...
郑爽鼓励汶川粉丝...
伴随着快递公司的快速普及化,了解快递公司早已变成大部分人的生活方式。根据物流单号查看十分便捷,可是假如物流单号被遗弃或是遗失了,那么就麻烦了。那麼,如何查快递单号就忘记了呢?下列小系列产品向您详细介绍...