记一次失败的实战攻防 记一次失败的实战攻防

记一次失败的实战攻防

0x01前言

 

某天早上接到领导通知,要对某个授权目标进行渗透测试,迫不及待的要来了目标,得知客户只给了一个单位名称。


0x02 web打点

拿到单位名称,目标资产收集走一波,各种互联网资产探测引擎进行搜索,查找目标信息备案查询,证书查询,端口扫描、指纹识别、C段汇总成一份信息收集的表格,对已有信息进行筛选,因为没有发现直接可利用的漏

洞点,所以对于存在登陆窗口情况的,直接掏出我的top  500 用户字典进行弱口令爆破。


 

果然还是有用户没能抵得住我的top500,顺利爆破出密码。


 

登录后,按照惯例把功能点过一遍,发现了多个上传点,果断拿出我的文件上传宝典准备大施一番拳脚,气氛都烘托到这了,不传个shell多少有点说不过去。


 

结果没有任何拦截,直接前端修改后缀格式,成功连接webshell


 

成功连接webshell,还是system权限。


 

看了下内网,还是有点东西,远程桌面已开,启动guest三件套:

激活Guest用户
net user guest /active:yes修改Guest的密码
net user guest Guest@123将Guest加入管理员组
net localgroup administrators guest /add

打算开启熟练的内网渗透本以为前期打点就这么愉快的结束了


 

吃了个饭,搭建了frp,打算进一步开始内网渗透,发现目标竟然站点503了


 

开始以为,客户发现了攻击行为,直接关站了,后期访问又开了,弱口令仍然存在,但是把有关于上传点的功能全部删除了


 

继续进行资产收集,在目标其他收集到资产中,发现存在asp.net


 

发现存在ASP.NET Web API帮助页面,根据提示构造http://xxx.xxx.xxx.xxx/api/xxx/xxx?cardId=1&carNo=1链接进行sql注入尝试


 

存在注入点


 

通过数据库开启xp_cmdshell,通过执行CobaltStrike的Powershell成功上线


03 内网渗透

frp搭建socks代理开始内网渗透


 

常用的内网代理工具

https://github.com/fatedier/frp 
https://github.com/ehang-io/nps 
https://github.com/sensepost/reGeorg

众所周知,传统行业中对于内网管控不是很严格,所以首先对永恒之蓝进行扫描


 

为确保其非误报,用方程式工具+msf对其进行简单验证(相对于CS插件,该方式相对能够保证其系统稳定运行)


 

经过永恒之蓝扫描后,发现并没有触发客户报警,使用内网扫描工具fscan进行资产收集,发现存在多个数据库、中间件等等漏洞不再一一列举

发现内网存在shiro漏洞



存在多个数据库弱口令

 

锐捷rce


 

经过勤勤恳恳的内网耕耘,发现了一台处于核心内网段的防火墙


 

摩拳擦掌正要进行下一步大的动作,发现socks断了,CS掉了,shell被删了,因为没有做权限维持,没有办法继续下去了。

 

0x04总结

1、不要放过任何一个存在内容的页面,任何可以访问的页面可能都是突破点;

2、平时注意收集弱口令字典,当前弱口令问题配合文件上传依然是比较容易突破的手段;

3.做好权限维持,拿到权限后一定要做好权限位置,确保当前权限目标关闭后,依然可以正常进行内网渗透。

评论 0

挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论
sitemap