在做资产梳理的时候发现了一个弱口令
http://xxxxxxx:2903/manager/status
是Tomcat中间件的后台管理弱口令
Tomcat的后台管理处是可以上传webshell的
在这里,我们需要上传一个war包,war包这样构造,首先选择一个JSP木马,将其命名为test.jsp,然后
将该文件添加到压缩文件,注意是zip类型的压缩文件,然后我们把压缩文件重命名为test.war,然后使用
冰蝎连接。
随后访问网站的/manager/html/list,发现上传成功
直接访问:http://xxxxxxx:2903/test2/test1.jsp
使用冰蝎连接
连接成功后接下来就是内网信息收集了
照常按例查看权限、网卡、域及进程
whoami
ipconfig /all
systeminfo
没有发现域环境
tasklist /svc
放入到杀软对比中
竟然发现了远程桌面管理软件,还是俩个
在杀软比对中发现了安装了远程控制软件
To* 是一款多平台远程控制软件,支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。
默认安装的To*的配置文件在
C:\Program Files (x86)\To*\config.ini
但是我在文件浏览中发现两个To*配置文件
C:/Program Files/To*/config.ini
C:/Program Files (x86)/To*/config.ini
在To*中会有一个叫临时密码的东西
利用方法很简单,直接将受害机的临时密码复制出来,替换到本机的config.ini文件中,重启本机的
To*就可以看到明文密码了
在上面说到我发现了两个配置文件,每个配置文件的临时密码还不一样
分别为:
tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33
d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2f
Version=4.1.1
tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40e
c20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834
Version=4.6.2.3
敏感信息我都会进行模糊处理
后来发现可能是装了两个不同的版本
分别使用这两个版本的临时密码的密文进行还原明文
先看Version=4.1.1
还原后发现明文为343266,那就使用该密码进行尝试
第一次失败,还有一个密文进行尝试
Version=4.6.2.3
替换完成后发现这次的密码比较专业一点,尝试连接
第二次专业的密码也失败了
还有一次机会
除了To*远程控制软件,还有一个远程控制软件2
在软件2中需要获取的为两处,Fastcode:本机识别码 Encry_pwd:本机验证码
配置文件路径:
安装版:
C:\Program Files\**\config.ini
便携版
C:\ProgramData\**\config.ini
注意高版本的2配置是放在注册表中
reg query HKEY_USERS\.DEFAULT\Software\O*\S*\S*\S*
reg query
HKEY_USERS\.DEFAULT\Software\O*\S*\S*\S*
在 C:\Program Files\O*\S*\S*\
并没有获取到config.ini配置文件,只是看
到了许多日志文件
换路径,通过摸索在 C:/ProgramData/O8/S*/sys_config.ini
发现了2的配置
文件
使用离线工具进行解密
工具链接:https://github.com/wafinfo/Sunflower_get_Password
python SunDecrypt.py
根据提示输入encry_pwd
使用设备识别码:6xxxxxxx5 和 解密出来的密码:12***56 进行连接
第三次成功连接远程桌面
对于内网的一些信息收集又多了一些选择,往往最简单最朴素的方法是为最致命的。