初探内网

在向信息中心的老师申请了对学校进行一次内网渗透测试的授权之后,我开始着手对学校内网中在用系统进行了一波信息搜集。其中大部分都使用了新版的未爆出0day的框架组件,这让我一开始的打点过程陷入僵局。但是在我重新翻了一遍学校开放的各种web系统后,我发现了一些令人惊喜的系统。

学校使用了很多新系统,但是并没有把老系统关闭,经过一番搜索确定了这个老系统存在任意文件上传漏洞。

没有任何过滤,可以说就是捡漏了。

而且也返回了一句话木马的路径。但是我遇到了一个很奇怪的现象,用蚁剑和用菜刀连接后,返回的路径不一样,其中的文件也不一样。

其中蚁剑连接的shell无法上传文件,而菜刀连接的却可以,并且webshell执行一次命令后就会封禁IP,怀疑有waf。所以我先传了一个msf的aspx木马来获取一个meterpreter的会话。使用windows-exploit-suggest探测未打的补丁。

发现存在MS16-075这个非常好用的漏洞,直接配合msf的juicy_potato模块来攻击,记住要修改CLSID,可以在这里找

https://github.com/ohpe/juicy-potato/tree/master/CLSID

使用的payload最好要选择正向连接 bind_tcp,不然有可能弹不回来shell。

这样就获取了system权限。接下来就是对机器进行信息搜集,获取对我们横向渗透有帮助的信息。很奇怪的一点是,这台机器本来是有域的,但现在却没有了,且无法找到域控。所以我们的重点放在密码撞库。使用msf自带的mimikatz模块来获取密码。

撞到了两三台机器,还有一些机器是开着445端口,但没有开3389端口。

这样我们可以尝试使用ms-17010,但考虑可能会对某些正在使用的系统造成影响,我还是选择使用更稳妥的 psexec模块来进行撞库。也就是哈希传递,有时候我们碰到无法获取明文的密码,可以考虑dump出密码的hash值,再使用psexec模块进行哈希传递,来进行攻击,获取到的都是SYSTEM权限。

后面的步骤索然无味,就是不断的撞库搜集密码,然后再通过搜集的密码再撞库,获取到了足够多的机器和密码之后,找到了边界路由器,但是之前搜集的密码都无法成功登录,只好放弃。这个网段就告一段落。

深入探索

经过对新系统的一番搜索,我在其中的一个功能中找到了任意文件下载漏洞。

并且是root用户起的服务,最理想的情况就是,读取/etc/shadow文件,爆破root用户密码。(失败),然后尝试读取/root/.bash_history 来获取root用户的操作历史记录。其中记录了tomcat部署的路径,以及备份的源码文件。通过下载源码进行信息搜集,我搜集到了一个很关键的信息,这个网段的机器大多数使用oracle数据库,并且没有修改SID,手里还有几个可以尝试的密码。

经过一番爆破,发现了一台机器oracle数据库system用户密码未修改,为manager。大家应该指定oracle数据库是可以执行系统命令的,而system用户完全符合执行系统命令的条件。网上找到一个工具,去掉了繁琐的步骤,可以直接执行命令。

点击收藏 | 1 关注 | 2
登录 后跟帖