一个正在进行中的内网渗透

<正♂面♂肛>

本菜日站第一步---->寻找正在使用的域名,然后对每个域名进行文件扫描以及端口扫描服务识别。

由于这个站比较。。。emmmmm。。。牛逼。。所以并没什么卵用

日站第二步---->扫C段,当然这个是因为我端口扫描时候顺便解析了所有域名的IP发现非常密集地集中在两个C段上在查了一下shodan之后发现其实这两个段地归属都是这个目标的,所以对C段进行了端口扫描以及服务探测。

对探测结果整理之后发现了34个开放了445端口的IP,但是使用MS17-010检测之后发现。。。WIN=0

这时我重新看了一遍445的信息,emmmm发现有一个是Linux开放的samba共享,匿名登陆。。。于是使用了CVE-2017-7494漏洞进行攻击,一开始并没有成功,后来。。。我改了一下poc。。。成功弹了一个shell。

这是个X64的。。。阉割版*Unix。

进行了简单的内网IP探测之后可以确定核心服务均在这个IP段。。但是。。。emmmm后来证明。。其实很多数据库和网站服务在另外一个段。

现在我的权限是root。所以我现在要尝试读一下/etc/shadow,然后我发现一件很TM蛋疼的事情。。。。wocaocaocaocaocao这尼玛是空密码。。。。

然后。。。我查看了其他用户之后发现。。都是预置用户并没有什么卵用。。。该空的还是空,该随机的还是随机。

netstat -ant发现连22端口都没有。openssh-server都没有。。。

后来想想。。。好像也没什么毛病。。毕竟这是一个NAS提供的镜像直接装的。。。

转战看看NAS上都有什么文件。最后发现都是一些办公室照片,并没有传说中存放密码的文档或者其他叼炸天的东西。不过有一张图。。。这张图上是一个网络状态树状图可以在上面看到IP段是真TM的多。。。

由于夜已深。我选择改日再战。

结果第二天我上去之后发现TMD权限没了。外网访问不到了。wocaocaocaocaocaocaocao。仔细想想。。。我头天晚上来了一发arp探测。。。。大概是网管发现被日了。。。

陷入江局

<色♂诱♂术>

其实就是发社工邮件。。。11882走一波。。发了大概几十封吧。。。有一台上线了。。。

上线后第一件事就是arp -a看看都有哪些活动的IP

然后来一发紧张刺激的MS17-010,百分百中招,毕竟是win7.。。还没打补丁。。。

一开始我在想为什么这个段怎么才5台机器。。有点懵逼。。。然后我发现我ping哪都不通,追踪路由之后发现路由表并没有让我过去。。。

emmmm这就很尴尬了。。。。再次陷入江局。

<fuck♂you>

由于在之前踩点发现了很多域名,访问之后发现某些域名需要登陆才可以访问到资源,而且采用的是单点认证的方式,也就是说我需要一个可以登陆的账号,然后就可以访问所有服务。

这时。。。我选择了从没用过的键盘记录器。。。。

经过了一个多月。。没错。。一个多月之后我终于TMD抓到了一个账号。。。

为什么TMD需要一个多月。。。因为这五台机器。。主人登陆OA系统时候都是打了账号。。然后粘贴了密码进去。。我真是日了狗了。。。有一天有个人不知道为什么手打了一次密码。。。于是我终于进了OA系统。。。

由于权限比较低。。我能访问到的东西很有限。。。而且套系统很有意思。。。我居然可以越权访问到管理界面。。还能访问一些功能。。还TM能使用一些功能。。。。

经过我N+1次的尝试。。并没有什么卵用。。。不允许上传asp aspx jsp php phpX html htmls cs class。。。说人话就是有个白名单。。。而且好死不死我没有权限修改白名单。。。尝试了IIS解析漏洞无果。。。因为是IIS8.5.。。

我肯定不死心啊。。。继续翻后台,最终皇天不负有心人,我找到了一个神奇的功能。。可以直接添加文件没有后缀限制。。。当然我并没有权限这么做。。。不过!!!!!我居然可以看到这个网站的所有文件!!!经过一个个文件的访问之后找到了一个上传页面。。。可以穿。。有后缀限制。。不过aspx是可以上去的,难道被撸穿过了?

事实证明事情并没那么简单。。。传上去有什么卵用。。hello world都执行不了。。。

各种操作尝试了一天之后放弃了这个上传页面。。。。

于是各种页面各种测试。。。过了一周之后<其实我这周很TM忙>。。。我觉得已经没有希望了。。甚至想日其他站了。。。这时。。。我试了试我觉得最没有可能的个人文件管理这个功能。。。然后传了个aspx的大马上去。。。wocao?传上了。。。没限制。。。。。当然我内心冷冷一笑。肯定TMD运行不了,怀着我已经看穿了管理员的套路的心态访问了一下那个shell。。。emmm果然不出我所料。。。映入眼帘的是苍茫的一片白。。。还有左上方的username: password:

wocaocaocoacaocaocaocaocao。。。。。。

输入账号密码之后进了shell一看右上角信息统计。。。唔 IIS_USER

心里凉了半截。。。

先试试能不能执行命令吧。

cmd /c whoami启动

XXXjdoqwrlkas<这里是我脸滚键盘出来的>

怎么回事。。不是IIS_USER吗?怎么是个域用户。。。

不管三七二十一,empire启动,shell systeminfo启动

windows server 2012.。。。

mimikatz启动

巴拉巴拉巴拉一大堆东西跳了出来。。我读到了这个用户的密码。。。。

ojbk,先看看是不是域管理员。。然而并不是。。。怎么办呢。。。先随便试试能不能登陆其他机器吧。。。因为我看到c:users里除了jdoqwrlkas.XXX以外还有个jdoqwrlkas的目录。。。net user也看到了这个用户。。而且还是管理员。

经过十几秒的等待之后发现我成功登陆上了三台机器,一台DB 一台AD 还有一台就是这个OA。。。

登陆AD之后发现意见很有意思的事情。。虽然这个账号不是域管理员。。。但是这是域控管理员。。。。

先种个马。。。

然后就到了激动人心的打穿内网的时刻!!!!

在这里我要衷心地提醒一句,当你觉得一切都很顺利的时候。。。离踩到坑不远了。

mimikatz读出了域管理员密码之后尝试登陆目标服务器。。发现并不能登陆上。。。提示密码错误,经过大量测试后发现这玩意在另一个域。。。。

未完待续

Last modification:May 5th, 2018 at 02:39 am

Leave a Comment