免责声明
由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
一
前言
本文由网络安全情报攻防站-嘉宾jerrttqq创作,首发Freebuf。原文链接:https://www.freebuf.com/articles/network/340664.html。作者已同意文章转载至本公众号并打原创标识,如果想与作者沟通交流请看文末。
文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,渗透测试须授权。
二
背景
一次地市攻防演习,安排我作为攻击队前去支持。由于本次演习地点恰好在我的十八线家乡,所以我干劲充足,一口气拿下多家单位,其中涉及到一些简单的社工+近源,分享出来,希望给大家看个乐。
三
社工拿下某学校
“获取大学虚拟专用网络账号”
接到指挥通知,攻击某大学。该大学对外开放服务极少,通过简单信息收集,发现3个IP段
但是大部分都不能公网直连,应该是需要easyconnect(由于敏感词限制,这里用easyconnect代替),来接入学校内网。
此时可以说已经陷入僵局,必须要拿到easyconnect才有得分的可能。
通常想要获取学校easyconnect有以下几种方式:
1、Github信息收集(有些学生会写一些类似签到、抢课的脚本,而统一身份认证的密码有的会硬编码在代码中)
一个以前通过github找到某大学虚拟专用网络账号的截图(当然现在已经失效了)
2、咸鱼以查阅图书馆论文查询权限为由购买学生账号,混入qq群借用、钓鱼得到账号。
3、Google hacking、学校公告中分析学号、密码规则,口令猜测。(通常有验证码,不好爆破)。
很不幸,以上3种方式都没有让我获得该大学的虚拟专用网络权限,只能祭出我的最后一招。
本地高中考本地大学的学生还挺多的,依稀记得有一位高中美女同学考上了这所大学,高中时还一起坐过同桌,不过时间久远也好久没联系了,好在还存着她的QQ,目标明确,开始沟通!
看到这个“哈哈哈哈“就知道有戏!
唠嗑联络一下高中友谊,顺利拿下easyconnect账号!
根据以往经验,大学很多IP都是公网的IP,但是要挂上easyconnect才能访问,可以理解为做了逻辑上的网络隔离,内网渗透时面对的IP是一些公网IP。当前主要有3个目标:
1、拿下更多权限。
2、找到出网主机,抛弃easyconnect。(用easyconnect容易被溯源,也不能保证高中同学的easyconnect不受影响)
3、找到物理隔离的内网主机。(类似192.168.x.x这类,部署在学校机房、实验室等位置)
首先针对前期信息收集收集到的几个IP段进行扫描,有了easyconnect之后确实能访问到更多的资产,而此时扫出的web目录大多为“xx流量探针”、“xx防火墙”等等,看到这么多安全产品,有点绝望了。
好在强大的fscan在这3个IP段中找到了为数不多的2个redis弱口令,一台windows,一台linux,windows的没什么思路,linux的一通操作,写ssh公钥拿到了一个ssh的权限。
成功连入ssh,发现新的网段,像是有很多docker。
这里先不着急对下一个网段渗透,先在本台ssh机器上进行信息收集。
顺利地找到了本机上的配置文件,泄露了本机的ssh口令,其他主机的 mysql密码等信息。
因为这里是通过ssh获取的权限,那么我就搭建ssh隧道(非常稳定),顺利访问到下一网段(192、172)。
配置文件中泄露的数据库密码也顺利地连了上去,获得很多敏感信息,这里截图就不放了。
使用内网大杀器,密码复用,直接撞出来5台密码复用的ssh机器,mysql也撞出来来了几个,这里不再放截图。
此时我还在用着借来的easyconnect,内心有一些不安,心想要抓紧找一找出网主机了。在和另一位师傅的努力下,成功发现了一个运维平台的弱口令,而这个运维后台给我们提供了天然的拿shell环境。
这里有一个在线运维的功能,可以编写脚本内容,而这个平台管理着多个docker,可以认为我们已经拥有了多个docker的shell。
先curl测试一下是否出网,出网!那直接反弹shell到我的vps上,成功收到shell。
同理拿到多台出网docker主机的shell,全部上传npc,给他挂上socks5代理,上线nps,选择其中一个代理,其余隐藏留着备用。
这时就可以抛弃掉easyconnect了,就当从来没有用过老同学的账号!
梳理一下现在的思路
通过nps socks5代理进入学校内网->redis弱口令拿到ssh权限,且ssh通向192/172等网段->搭建ssh隧道
那么通过一层socks5、一层ssh隧道后,攻击机器就可以顺利地访问192/172等网段了。
在对192网段探测时,发现多个web title为" + ID_VC_Welcome + "的站点,应该是大规模用了Vmware的虚拟化平台,想起以前看过的一片公众号文章。干货分享 | VMware vCenter漏洞实战利用总结
跟着公众号上的exp,很幸运的在一个站点上成功上传了webshell。
后面想用伪造cookie获取vCenter控制台权限,但奈何data.mdb怎么也下载不下来(遇到过好几次这个问题,有伪造cookie经验的师傅留言指导一下),那么对这个学校的攻击就到此为止了。
四
近源渗透
在分配给我们的目标中,还有一个xx局,经过前期的信息收集,发现该xx局根本就没有在互联网上暴露的资产。好在主场作战,这个xx局就在我家后面一条街,白天攻击结束后,晚上骑着电动车背着电脑,便开始了我的第一次近源渗透。
到了xx局门口,正面进入是没辙了,根据一个老师傅的经验,我们在xx局临街楼外边的台阶坐了下来。(蚊子是真多啊)
神奇的事情来了,我们拿出APP“WIFI 万能x匙”,显示附近有WIFI可以连上,但是需要6元钱会员才给我们连,此时我们也不确定是否为xx局的WIFI,但还是咬咬牙,消费!成功连入了该WIFI。
一看密码“123456789”,顿时觉得这6块钱花的血亏。
在这个WIFI的网段下面简单探测了一下,是没有什么设备的,但是我们再次用弱口令进入了该WIFI路由器的web管理界面。
翻来翻去,发现该路由器配置了上一跳的IP 10.x.x.x
看到这就已经有出活的预感了,直接对这个IP的C段扫一下,发现一台Winserver主机有MS17-010漏洞,MSF指令啪啪啪一输,拿下。
把msf会话转移到CS上,通过进程迁移把System权限变为Administrator权限,开启vnc看看屏幕吧。
好家伙,向日葵、teamviewer都有,还有很多类似2345全家桶的应用程序,看起来这台电脑除了做服务器还被员工用来摸鱼。
这里其实3389 RDP也能直接打开,为了方便还是直接用了向日葵。
桌面发现了一个Navicat,通过这个Navicat获取了大量数据(截图不放了)。
发现一个web管理网站,密码可以从数据库中提取哈希,再去在线网站解开,顺利登录web界面。
有一些数据,还有很帅的地图。
至此,本次近源渗透顺利结束。
五
总结
1、难得的实战经验,用了一些比较离谱的手段,但整个过程思路还算清晰。
2、第一次打红队,地市级别攻防演练防守较弱,攻击过程还算顺畅,没有受到防守队刁难,还请各位师傅多多指教。
六
与作者交流
文章作者:知识星球网络安全情报攻防站(嘉宾jerrttqq)
欢迎加入《网络安全情报攻防站》与作者沟通学习,以下是50块钱优惠券
五
往期回顾
新年特供【供应链作战指北!】
Windows提权漏洞合集and域渗透历史漏洞整理【开工大吉】
渗透实战—从app到网站沦陷