实战 | 一次从废弃系统入手到内网漫游
2022-11-14 11:44:42 Author: 系统安全运维(查看原文) 阅读量:34 收藏

本文仅用于技术讨论,切勿用于违法途径,后果自负!

入口

首先是主站,测试了下没发现上面可疑的点

然后扫了下子域名和旁站

发现一个bbs网站,看样子是废弃了很久的

admin/admin弱密码成功登录后台

尝试找上传点,结果发现允许上传的附件类型里有个jsp,估计是有大佬来过了

后台找了半天也没找到上传点,这里傻X了,直接在前台发布帖子,上传附件,然后抓包改包就可以传webshell了

在后台找到附件保存的地址,哥斯拉连接


直接就是system权限,但是在内网中没有域

传procdump上去读取lsass内存,保存到本地用mimikatz读取密码,成功获取明文密码

netstat -ano看了下没开3389,直接cmd执行

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

开启3389

由于在内网,不能直接连接,而且tasklist发现有数字杀软,做个免杀msf马,上传后运行

(这里后来发现杀软是3某0天擎,而且好像很久没更新了,所以完全不免杀都可以上线)

成功反弹shell到vps,接着端口转发,本地连接服务器对应端口,成功进入桌面

 内网信息收集

继续翻配置文件,没找到什么有用的数据,都是些病人挂号、出院之类的信息

继续翻数据库软件,然而其他服务器要么早就改了密码了要么连接上还是没有有用数据

然后在文档处发现有rdp远程连接文件,而且和该服务器不在同一网段,猜测有多个网段

上传工具扫描内网,好家伙内网存活900多台主机

RDP爆破

将扫描结果打包保存到本地,写个脚本导出所有开启了rdp服务的主机ip

上传rdp爆破工具和ip字典,爆破

只爆破到七八台主机有弱密码

直接连接了下,确认密码正确

 iMC服务器

翻http服务的时候发现一个H3C 的 iMC 平台,想到它有一个RCE漏洞,这里传了个cs马上去开启socks服务(因为嫌msf起的socks不太稳定)

本地用Proxifier连接代理vps,将流量带到远程内网中,打开burp利用公开的exp尝试攻击

利用成功,尝试ping了下百度,发现机器不出网,那就只能写shell了

用dir命令找到web目录(图片是后来补的,当时只有一个index.html)

测试了一下,发现在未登录的情况下访问imc的其他路径都会被要求重新登录而跳转到login.jsf

所以不能把shell写到imc当前所在目录,必须找到apache webapp的ROOT目录才行(就是上图)

现在找到需要上传的目录,然后开始尝试写shell,先百度了一个jsp一句话shell

<%Runtime.getRuntime().exec(request.getParameter("i"));%>

直接用echo命令无法写入,因为特殊字符需要转义

其中尖括号需要用逃逸字符^转义,百分号需要用url编码,就这么一个个手动fuzz

然而在双引号处被卡住了,无论是逃逸字符转义,还是反斜杠转义,或者url编码,都不行,无法写入。

于是破罐破摔,既然单引号可以写入,那就把shell里面的双引号改成单引号,还是该转义的转义,该编码的编码,写shell,浏览器访问,果不其然报错了。

在Stack overflow找了一圈也没找到办法,都是在说用放斜杠转义双引号,然而我这边无论怎样转义还是不行

就在一筹莫展的时候突然意识到,还有个Windows自带的神奇没用上啊,

certutil.exe,虽然这台服务器不出网,但是跳板机是有内网web服务的啊,可以直接在跳板机的web目录放写好的shell,然后imc服务器用certutil.exe下载

说干就干,用哥斯拉生成jsp shell,上传到跳板机

(这里还傻X了一下,我直接把jsp文件放上去了,结果certutil下载下来发现文件大小是0 kb的时候才反应过来放jsp在跳板机上会被解析)

然后burp里执行命令下载到ROOT目录,改后缀名为jsp,哥斯拉配置代理,连接之,成功!

然后还是一套procdump + mimikatz读取hash的老操作,成功拿到密码:

然后和跳板机密码一比对,发现imc服务器密码是****@H3Cmanager,而跳板机密码是****@***240(240是本机内网ip最后一位)

尝试构造密码字典爆破其他服务器

 内网监控

因为开了ftp服务的主机太多了,就懒得爆破了,翻了下其他http服务,很繁杂,海康威视、大华、医用设备的web端、网络会议系统、网神系统、反统方系统、交换机吧啦吧啦的,运维安全观念还是很强的,几乎没有弱口令,但是还是发现几台监控设备是用的弱密码

我丢当时点开这个页面的时候直接把我吓飞好吗,还以为是停尸间,当时人就呆住了

好在第二天白天看了眼,只是普普通通的病房。

后话

当时拿下跳板机的时候注意到进程有个vmtool.exe就知道是在虚拟机了,尝试了Github上面某位师傅的vmware逃逸poc,师傅说成功率在50%左右,

可是我试了很多次都不行,可能是使用姿势不对。如果还有后续的话再写后续吧。

作者:先知社区带呆毛丶

原文地址:https://xz.aliyun.com/t/10024

声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权否则需自行承担,本公众号及原作者不承担相应的后果.

如有侵权,请联系删除

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247512003&idx=2&sn=d4c1066cc9356cf3fb7efc84776e1102&chksm=c3087cb3f47ff5a5c1e7ac13ee426324fb19d4533be1ae904f6d73ed1eab9f5caa225cb97078#rd
如有侵权请联系:admin#unsafe.sh