記一次授權巡檢–內網滲透居然可以這樣玩

本次巡檢分為常規的安全巡檢工作。

護網結束,各個單位彷如劫后余生開始收拾這無硝煙戰火的斷壁殘垣,有人歡喜有人憂,護網期間防守方不惜人力7*24值守在內外網的出入通道上,一有可疑的風吹草動,便封堵訪問的IP,稍過的便將相關服務下電處置(非核心業務),少不了被網友調侃防守方防御太過,防御方之所以防御過激,那是因為他們心知肚明,一旦被攻進內網,那便防無可防,那便毫無退路。當然值得肯定的是外網安全逐漸完善,從本次護網行動攻擊隊的畫風一改往日便一覽無余,因此內網的安全刻不容緩,剛好上周斗哥有幸去某地市能源企業展開一次安全巡檢,并且對該單位的內網進行了內網滲透攻擊,于是便有了本篇分享。

之前斗哥接觸的都是針對某個單獨站點的完整滲透測試,或者大量無關聯資產的漏洞快速挖掘,面對龐大的內網滲透還是比較少遇到的,內心還是有些小激動,于是周一當天便聯系好同去的項目經理到達客戶現場,該單位的安保還是較為完善的,辦公大樓的進入需要員工卡才能出入,訪客需要去門衛樓拿身份證登記,使用有次數限制的二維碼進出辦公大樓,在客戶的帶領下到達客戶某信息化部門辦公室,開始溝通安全巡檢的細則,明確本次巡檢的范圍等。由于是在內網進行滲透,便和客戶溝通使用自己的電腦接入內網進行滲透,由客戶那邊提供連接到內網的IP,于是客戶便安排斗哥在會議室內開展本周的滲透測試,上午在調試好內網連接的IP以及拿到客戶給的資產(主要是地市內網的滲透,不包括集團和省公司的服終端和服務器),然后便開始了進行安全巡檢的玩耍啦~

巡檢分5天時間,按照斗哥的計劃是周一主要是常規的巡檢工作,周二到周四主要是內網滲透,周五就是收尾、截圖整理巡檢報告等工作。

本次巡檢分為常規的安全巡檢工作,抽查部分服務器網絡設備進行配置檢查等,另一個重點工作就是對內網進行滲透攻擊,內網滲透的目的當然是拿服務器權限,拿下內網的控制權限,并且盡可能多得幫客戶發現內網安全問題,簡單來說就是要擼穿內網,不過內網的服務器有分為三六九等,普通的可能是辦公網的主機,打印機,邊緣的網絡設備之類的的設備的權限,好一點的如何說存在敏感信息,賬號密碼的辦公網終端主機,普通web系統服務器這類,高級一點的是拿下域控、堡壘機這類的能控制整個內網的設備。

內網滲透的終極目標是拿下內網的控制權限,如何達到這個目標過程中要做很多的嘗試,嘗試很多思路,直至達到我們想要的目的。不管如何達到我們內網權限控制的目標,信息收集都是我們的內網滲透的首要工作,在斗哥看來,信息搜集是貫穿整個滲透攻擊過程的重要環節,搜集哪些信息、如何關聯利用這些信息,這就取決于滲透攻擊人員對信息的敏感度,積累的漏洞經驗等。

由于時間緊任務重,在常規安全巡檢的時候斗哥也同步使用nmap對內網存活的IP和端口的開放情況進行掃描,使用nessus對主機漏洞進行掃描,以及對內網外進行信息收集,當然內網最常見的還有永恒之藍漏洞,于是斗哥便寄希望于通過永恒之藍漏洞來撕開內網滲透的口子,廢話不多說直接上工具腳本進行測試,但是天不遂人愿,內網居然沒有永恒之藍的漏洞,不科學啊!為此斗哥只能放棄這條思路,尋找其他突破點。

由于斗哥是內網授權測試,因此考慮利用ARP欺騙的原理對內網進行嗅探,看能不能嗅探到內網一些敏感信息,這里斗哥使用的是kali下ettercap進行敏感信息嗅探,由于允許斗哥接入的辦公網存活的主機并不多,有由于ARP欺騙攻擊無法跨網段,也有可能嗅探的時間點不沒掐好,總之斗哥沒有探測有有價值的信息,該思路就在只能暫且掛起。

掛起.webp.jpg

等待掃描結束,斗哥發現內網有大量主機開放了21、22、139、445、1433、3389、3306、80等端口,于是斗哥的第一想法是對21、22、3389、3306等端口先用常見的弱口令字典去進行爆破,同時斗哥對相關的端口進行訪問以便進一步搜集內網相關信息,發現了有些IP地址開放的21端口存在非授權訪問,其中大部分是打印機的ftp端口,暫時沒有找到很好的突破口。

這時候部分nessus的掃描進程掃描結束,于是便先來看看是否有掃描出可以直接利用的主機漏洞,中間件,數據庫等類型的漏洞啥,由于客戶給斗哥的資產大部分屬于辦公網的終端主機,服務器只給了8個IP地址(上面的web應用是類似于北信源的桌面管理系統、海康、大華這類的監控管理系統等web的登錄頁面,按斗哥的經驗,這類系統沒啥搞頭,除非有0DAY,只能先放著),因此斗哥的大概思路是想說先想辦法拿到一臺終端主機,然后再進行后續攻擊。

掃描完畢,通過查看nessus的掃描報告,斗哥發現內網終端主機私自搭建web服務導致該主機上面的所有目錄可非授權訪問,通過瀏覽訪問斗哥才發現原來是終端客戶安裝了everthing軟件,并且啟用了ftp和http服務,借助于everthing強大的搜索功能,感覺能翻到很多有價值的信息~~~

信息.webp.jpg

于此同時斗哥還發現該主機竟然還開放了3389端口,大家都知道windows的密碼hash保存在sam文件中,于是斗哥便想到通過下載sam文件,獲取hash解密,然后通過3389遠程桌面登錄這臺主機,然鵝理想很美好,現實很骨感。ftp和http訪問下都沒有下載sam文件的權限,無奈只能放棄該思路,再尋找其他突破點。

突破點 2.webp.jpg

此路不通,只能繼續翻翻看,看是否有其他有價值的信息,在everthing上通過搜索密碼,發現有多個記錄密碼的txt文件,果斷訪問之,得到了一些網站,以及網站對應的密碼,發現大部分密碼被修改過,并且部分網站屬于省公司集團的資產,不屬于本地市的內網滲透范圍,遂只能另尋他路。

他路.webp.jpg

另一方面斗哥用kali下自帶的hydra在內網對3389、22端口爆破毫無進展,導致斗哥嚴重懷疑用了假的工具,于是在本地進行測試一下,發現確實不能爆破,初步判斷可能是因為虛擬機上使用的kali的hydra與windows的3389遠程登錄協議不兼容的問題吧,于是只能輾轉使用hydra的windows版本,由于hydra只能對單個IP進行爆破,大佬便丟給斗哥一個專門的3389爆破工具,萬事俱備只欠東風,爆破工具有了但是好的爆破字典能也是非常重要的,于是斗哥又回頭去分析前期搜集的信息,密碼規則等生成一個社工爆破字典再加上常見的弱口令字典進行爆破。

在3389和22端口爆破的時候,斗哥又根據客戶給的資產里面針對服務器web這條路尋求突破口,翻了一遍下來都是一些登錄的頁面,賬號不可猜測,賬戶和密碼加密hash加密進行傳輸,還有錯誤鎖定機制,大部分屬于不好爆破的類型,只有一個web系統賬號名可判斷,因此判斷存在admin賬號,剩下就只能爆破,但是由于爆破的賬號和密碼需要加密進行爆破,比較消耗資源,因此斗哥暫且不考慮這個方法。

當然根據內網辦公網掃描的端口80、8080等http協議的漏洞斗哥在訪問的時候發現有tomcat中間件,于是想辦法探測tomcat的版本號,然后上網查看對應版本號是否有可利用的未修復的漏洞等,同時其他的http的身份驗證的接口,也同樣進行了常見弱口令的爆破。

這時候斗哥爆破許久的3389終于有結果,還爆出不少賬號,小激動的一番,果然信息搜集總能在出其不意的時候有神跡般的收效,于是斗哥便登錄上去,發現其中大部分對應的辦公網的主機,那么拿到終端主機的權限,斗哥的下一個目標就是要想辦法拿到內網服務器的或者其他能控制其他內網更多主機權限的主機比如域控這類的服務器。

服務器 111.webp.jpg

通過3389遠程登錄,斗哥發現辦公網用戶有很多用戶登錄了OA、郵箱等工作中常用到的系統,因此便想辦法獲取web系統的賬號,然后登陸到對應的web系統在進行下一步的漏洞挖掘getshell提權,為了能快速獲取瀏覽器上記錄的賬號密碼,大佬又丟了一個工具給斗哥,于是斗哥便獲取了瀏覽器上記住的賬號密碼,便嘗試登陸到應用系統,因為對應的都是一些生產要使用系統,于是斗哥便向客戶確認是否可以進行下一步滲透,無奈被客戶告知是集團的系統不屬于本次滲透范圍,遂只能作罷。

于是斗哥又拿著獲取到的賬號密碼去猜測最開始客戶給斗哥的web系統的登錄頁面,還真是人生處處有驚喜一猜一個準,真的是開心到手舞足蹈,因此斗哥得出一個結論,一旦知道一個口令,那簡直可以在內網橫著走,因為整個內網使用的密碼無外乎就那么一兩個,雖然有些小夸張,但是整個內網安全與否看是不是防護最好的那個系統,而是最脆弱的那個短板,一旦被攻擊者發現利用,就會殃及整個內網。

本次整個內網滲透就差不多這樣結束,期間斗哥一直試圖尋找域控,想要拿到內網更多的控制權限,后來回去后聽大佬說正常域控都需要輸入域名之類的再進行身份認證,而斗哥遠程登錄3389的時候根本不需要輸入域名啥的,因此判斷該內網可能不存在域控。

以上便是斗哥內網滲透的經驗分享,由于知道的漏洞和了解到漏洞并不是很多,導致斗哥在實際滲透的時候收效甚微,對于內網滲透還需要更多的實踐,還需要跟大佬多學習,有經驗的小伙伴歡迎在評論區留言來跟斗哥一起交流學習。

工具分享:?

1.永恒之藍:

鏈接:https://pan.baidu.com/s/1xzwCs6YMkMtQIszhrL3dfQ

提取碼:j5g1

2.鏈接:

https://pan.baidu.com/s/11zZBG_cAnEkjdROzs6EFiw?

提取碼:2daz

3.獲取瀏覽器賬號:

https://github.com/kalivim/Powershell_fisher?

4.hydra8.1_win:

鏈接:https://pan.baidu.com/s/1VkKTAI-xo2IjlrhsJldL9g

提取碼:awqm

5.3389爆破:

鏈接:https://pan.baidu.com/s/1ViL1cfiNTJKW9dIIAr17fw

提取碼:tbd6

qrcode_for_gh_223e082fe8a7_430.jpg

1

這些評論亮了

  • pointzhao (2級) 懶得寫! 回復
    @ 傻吊 你的名字名副其實。不管別人是否有技術含量,能寫出來分享給大家都是好的。
    )16( 亮了
發表評論

已有 8 條評論

取消
Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 什么app能玩二人麻将