介绍:渗透测试的本质还是信息收集。
0x00 前言
前段时间有个朋友发我一个管理系统,说让我帮忙测试下是否有能登录到后台,于是针对该系统开始进行信息收集。
本次测试已获得授权,小伙伴们不要乱搞哦~
![图片[1]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220673_60a1dd41904ea54140cb9.jpg)
0x01 信息收集
1.1 对目标域名进行信息收集(其实没什么用)
目标域名接有CDN节点,一开始无法获取真实的IP地址,然后通过censys.io查询https证书,查到了另外一个域名xxx.top,通过xxx.top获取到了域名后真实的IP地址(47.xx.xx.xx)。
1.2 Github信息收集
朋友说信息收集的时候可以去github上搜集下信息试试,没准能有意想不到的收获,于是就去试了下,找到了一个邮箱账户:
![图片[2]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220677_60a1dd45ab6db3c0c6c21.jpg)
下面有服务器地址,测试了下mail.xxx.com,是腾讯企业邮登录口[email protected]虽然是个低权限账号,但是也成功登录了,上面还是有一些邮件没删除,也找到了一些有用的信息,比如,他们的企业邮换系统了、还有老的威PN客户端和连接方式等,还得知了他们新邮件系统的默认密码是他们上网账号的密码。
![图片[3]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220682_60a1dd4acadd335cee468.jpg)
![图片[4]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220689_60a1dd51a186564c60124.jpg)
得到了新的企业邮地址(mail.xxx-xx.com),然后就去新的企业邮上测试了下这俩账号,一个都登不上去,然后这条路暂时就走不通了,继续去github上翻信息。
翻信息的过程中发现了github用户xxx的一个项目learn_xxx中有很多关于该公司的信息,于是把这个项目拉到本地,审计一下。
1.3 learn_xxx项目审计
对项目进行审计,该项目中有多个子项目,大部分为内网使用项目,审计过程中发现该公司的公网LDAP服务器地址。
![图片[5]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220697_60a1dd59865e33f3585e9.jpg)
1.4 ldap服务器信息收集
经过探测,该ldap服务器存在匿名访问,无需密码即可访问,去网上找了个图形化工具(jxplorer),填上基底(DN)即可访问:
![图片[6]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220703_60a1dd5f17e224db46772.jpg)
![图片[7]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220708_60a1dd6481d37bba9314d.jpg)
将收集到的密码直接贴到cmd5.com,可以解密
![图片[8]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220714_60a1dd6a9a4e981b0a289.jpg)
获取到密码以后,即可登录该用户在公司内部所有系统,例如邮箱、威PN等关键系统。
1.5 企业邮信息收集
在新的企业邮用收集到的账号密码登录
![图片[9]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220720_60a1dd70444ef81fd0fd0.jpg)
搜索关键词:passwd/password/usernmae/user/威PN/密码
然后再就是查看通讯录(有了ldap之后查看通讯录主要是为了确定相关项目组成员都是谁,然后去翻查项目组成员的邮箱)
收集到的信息如下:
1、四台服务器的ip地址、端口和密码
在其中一台服务器上,找到了五条mysql的连接记录,格式是:
mysql -h***.mysql.rds.aliyuncs.com -udb_name -p'*****'
2、威PN的客户端压缩包
3、威PN的密码
4、elk的用户名和密码
0x02 进入内网
既然已经有了威PN和密码,那当然是要接入内网了,安装open威PN客户端,然后从邮箱里找到了open威PN的配置文件,一开始使用邮箱里搜集到的密码无效,然后就测试了下LDAP的账号和密码,登录成功了,成功接入内网。
运维配置平台
http://192.168.10.98:8080
(运维配置平台弱口令admin admin)
在运维配置平台中,只能看到部分服务器信息,还是无法登陆服务器,但是在某个功能的报错信息中,泄露了外网的zabbix的密码:
初期在内网无法确定目标机器在内网的名称是啥,因为他们内部两千多台服务器和很多项目,而且命名都不一样,但是获取到了这个zabbix之后,通过搜索passport关键字,确定到了他们内部对主机的命名,是HT_PassPort_NG_02和HT_PassPort_NG_TOMCAT_01:
堡垒机
获取到主机名以后,就可以继续去查找目标主机的信息了,刚才在扫c段的过程中,还发现了堡垒机,堡垒机同样也有弱口令,可以直接登录:
堡垒机弱口令:http://192.168.10.136 admin admin
在堡垒机中确定了下之前搜集到的主机名确实能跟目标系统的IP对上。![图片[13]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220746_60a1dd8a13ec0745a6bb7.jpg)
堡垒机平台有个web端的ssh连接界面,可以免密连接,先将目标主机添加到admin可控的主机里,然后推送用户,就可以直接登录了。
在目标机中我们寻找数据库连接信息,因为我们最终的目标是要登录后台,也就是我们要找到数据库中的后台用户名和密码。我们在目标机器中查找到目标系统的代码文件夹,然后去查看配置文件,发现数据库连接方式,除了地址,用户名和密码全部被加密,而且不能解密:
![图片[15]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220757_60a1dd9562c170bc8cf7d.jpg)
0x03 峰回路转
由于目标机器的数据库账号密码无法解密,本来以为到此结束了本无法解密的话,就没办法继续下去,但仔细一看他的数据库名字,在某台外网服务器上收集到的数据库连接语句中,有相关数据库的连接账号密码,再次登录外网服务器,链接shop_db数据库,找到管理员表,查找到管理员用户名和密码,测试passport.xxx.com,登录成功。
![图片[16]-渗透测试之记一次内网漫游实例 – 作者:宸极实验室Sec-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210517/1621220766_60a1dd9e301c08606d4c8.jpg)
0x04 总结
渗透测试的本质还是信息收集,有的时候多维度的信息收集进行组合挖掘,可以得到一些意想不到的收获。
作者:nothing
来源:freebuf.com 2021-05-17 11:04:30 by: 宸极实验室Sec
请登录后发表评论
注册