已完成的内网渗透

<正♂面♂肛>

本菜日站第一步---->寻找正在使用的域名,然后对每个域名进行文件扫描以及端口扫描服务识别。

由于这个站比较。。。emmmmm。。。牛逼。。所以并没什么卵用

日站第二步---->扫C段,当然这个是因为我端口扫描时候顺便解析了所有域名的IP发现非常密集地集中在两个C段上在查了一下shodan之后发现其实这两个段地归属都是这个目标的,所以对C段进行了端口扫描以及服务探测。

对探测结果整理之后发现了34个开放了445端口的IP,但是使用MS17-010检测之后发现。。。WIN=0

这时我重新看了一遍445的信息,emmmm发现有一个是Linux开放的samba共享,匿名登陆。。。于是使用了CVE-2017-7494漏洞进行攻击,一开始并没有成功,后来。。。我改了一下poc。。。成功弹了一个shell。

这是个X64的。。。阉割版*Unix。

进行了简单的内网IP探测之后可以确定核心服务均在这个IP段。。但是。。。emmmm后来证明。。其实很多数据库和网站服务在另外一个段。

现在我的权限是root。所以我现在要尝试读一下/etc/shadow,然后我发现一件很TM蛋疼的事情。。。。wocaocaocaocaocao这尼玛是空密码。。。。

然后。。。我查看了其他用户之后发现。。都是预置用户并没有什么卵用。。。该空的还是空,该随机的还是随机。

netstat -ant发现连22端口都没有。openssh-server都没有。。。

后来想想。。。好像也没什么毛病。。毕竟这是一个NAS提供的镜像直接装的。。。

转战看看NAS上都有什么文件。最后发现都是一些办公室照片,并没有传说中存放密码的文档或者其他叼炸天的东西。不过有一张图。。。这张图上是一个网络状态树状图可以在上面看到IP段是真TM的多。。。

由于夜已深。我选择改日再战。

结果第二天我上去之后发现TMD权限没了。外网访问不到了。wocaocaocaocaocaocaocao。仔细想想。。。我头天晚上来了一发arp探测。。。。大概是网管发现被日了。。。

陷入江局

<色♂诱♂术>

其实就是发社工邮件。。。11882走一波。。发了大概几十封吧。。。有一台上线了。。。

上线后第一件事就是arp -a看看都有哪些活动的IP

然后来一发紧张刺激的MS17-010,百分百中招,毕竟是win7.。。还没打补丁。。。

一开始我在想为什么这个段怎么才5台机器。。有点懵逼。。。然后我发现我ping哪都不通,追踪路由之后发现路由表并没有让我过去。。。

emmmm这就很尴尬了。。。。再次陷入江局。

<fuck♂you>

由于在之前踩点发现了很多域名,访问之后发现某些域名需要登陆才可以访问到资源,而且采用的是单点认证的方式,也就是说我需要一个可以登陆的账号,然后就可以访问所有服务。

这时。。。我选择了从没用过的键盘记录器。。。。

经过了一个多月。。没错。。一个多月之后我终于TMD抓到了一个账号。。。

为什么TMD需要一个多月。。。因为这五台机器。。主人登陆OA系统时候都是打了账号。。然后粘贴了密码进去。。我真是日了狗了。。。有一天有个人不知道为什么手打了一次密码。。。于是我终于进了OA系统。。。

由于权限比较低。。我能访问到的东西很有限。。。而且套系统很有意思。。。我居然可以越权访问到管理界面。。还能访问一些功能。。还TM能使用一些功能。。。。

经过我N+1次的尝试。。并没有什么卵用。。。不允许上传asp aspx jsp php phpX html htmls cs class。。。说人话就是有个白名单。。。而且好死不死我没有权限修改白名单。。。尝试了IIS解析漏洞无果。。。因为是IIS8.5.。。

我肯定不死心啊。。。继续翻后台,最终皇天不负有心人,我找到了一个神奇的功能。。可以直接添加文件没有后缀限制。。。当然我并没有权限这么做。。。不过!!!!!我居然可以看到这个网站的所有文件!!!经过一个个文件的访问之后找到了一个上传页面。。。可以穿。。有后缀限制。。不过aspx是可以上去的,难道被撸穿过了?

事实证明事情并没那么简单。。。传上去有什么卵用。。hello world都执行不了。。。

各种操作尝试了一天之后放弃了这个上传页面。。。。

于是各种页面各种测试。。。过了一周之后<其实我这周很TM忙>。。。我觉得已经没有希望了。。甚至想日其他站了。。。这时。。。我试了试我觉得最没有可能的个人文件管理这个功能。。。然后传了个aspx的大马上去。。。wocao?传上了。。。没限制。。。。。当然我内心冷冷一笑。肯定TMD运行不了,怀着我已经看穿了管理员的套路的心态访问了一下那个shell。。。emmm果然不出我所料。。。映入眼帘的是苍茫的一片白。。。还有左上方的username: password:

wocaocaocoacaocaocaocaocao。。。。。。

输入账号密码之后进了shell一看右上角信息统计。。。唔 IIS_USER

心里凉了半截。。。

先试试能不能执行命令吧。

cmd /c whoami启动

XXXjdoqwrlkas<这里是我脸滚键盘出来的>

怎么回事。。不是IIS_USER吗?怎么是个域用户。。。

不管三七二十一,empire启动,shell systeminfo启动

windows server 2012.。。。

mimikatz启动

巴拉巴拉巴拉一大堆东西跳了出来。。我读到了这个用户的密码。。。。

ojbk,先看看是不是域管理员。。然而并不是。。。怎么办呢。。。先随便试试能不能登陆其他机器吧。。。因为我看到c:users里除了jdoqwrlkas.XXX以外还有个jdoqwrlkas的目录。。。net user也看到了这个用户。。而且还是管理员。

经过十几秒的等待之后发现我成功登陆上了三台机器,一台DB 一台AD 还有一台就是这个OA。。。

登陆AD之后发现意见很有意思的事情。。虽然这个账号不是域管理员。。。但是这是域控管理员。。。。

先种个马。。。

然后就到了激动人心的打穿内网的时刻!!!!

在这里我要衷心地提醒一句,当你觉得一切都很顺利的时候。。。离踩到坑不远了。

mimikatz读出了域管理员密码之后尝试登陆目标服务器。。发现并不能登陆上。。。提示密码错误,经过大量测试后发现这玩意在另一个域。。。。

有的时候日站需要一点运气,比如说。。。。MS17-010

通过一系列手段确定邮件服务器位置之后对所在网段用ms17-010-m4ss-sc4nn3r.exe扫了一下,本来是死马当活马医。。。万万没想到居然真的有。。。一台windows server 2012,一台windows server 2008 R2.

接下来就简单了。。。原版MS17-010走一波给windows2008加了个管理员账号。。通过最开始拿到的那台服务器作为跳板在上面使用netsh命令转发了这台windows2008的3389端口到公网IP上,直接登陆。
netsh的命令:

netsh interface portproxy add v4tov4 listenaddress=192.168.193.1 listenport=3388 connectaddress=xxx.xxx.xxx.xxx connectport=3389

真是非常干净的服务器。。。TM管理员登陆是两年前!!!!这玩意TM是装好之后就忘了有这台服务器了吧!!!
而且很TM神奇的是这台。。虽然在这个段但是没加入域。。。这就很尴尬了。。。
还是看看windows2012吧。。。
https://github.com/worawit/MS17-010下载到这个玩意修改了一下东西把命令改成添加管理员账号,并且。。。还记得开头我说过弄到一个没什么卵用的账号吗?把那玩意写了进去。。。save》py2exe》run
WTF失败了。。。大概意思是利用没成功让我try again
然后我又试了几次。。。还是不行。。。。
出阳台抽根烟。。。吹吹风。。。冷静一下。。。突然灵光一现。。他这个好像是因为内存地址在他去喷射的时候已经变了那么是不是说只要我手速足够快。。。就有可能成功?

于是我try again。。疯狂↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter ↑ Enter
突然。。。成功了。。。oh fuck man。<非气运逆天者慎用,有可能会把正在使用的内存区域覆盖导致蓝屏>

netsh,login,open taskmgr,open user tab完美,有一个管理员登陆过账号然后断开了,这TM就简单了。。mimikatz start ,mimikatz exit,serch administrator 密码到手,真TM复杂。。。

netsh转发邮服登陆放马收工下班

Last modification:June 3rd, 2018 at 04:29 am

2 comments

  1. lsh4ck

    你的好了
    我的
    lsh4ck's blog
    https://www.lshack.cn

  2. mr.tcsy

    给大佬地插 嘤嘤嘤

Leave a Comment