记一次授权巡检–内网渗透居然可以这样玩 – 作者:漏斗社区

护网结束,各个单位彷如劫后余生开始收拾这无硝烟战火的断壁残垣,有人欢喜有人忧,护网期间防守方不惜人力7*24值守在内外网的出入通道上,一有可疑的风吹草动,便封堵访问的IP,稍过的便将相关服务下电处置(非核心业务),少不了被网友调侃防守方防御太过,防御方之所以防御过激,那是因为他们心知肚明,一旦被攻进内网,那便防无可防,那便毫无退路。当然值得肯定的是外网安全逐渐完善,从本次护网行动攻击队的画风一改往日便一览无余,因此内网的安全刻不容缓,刚好上周斗哥有幸去某地市能源企业展开一次安全巡检,并且对该单位的内网进行了内网渗透攻击,于是便有了本篇分享。

之前斗哥接触的都是针对某个单独站点的完整渗透测试,或者大量无关联资产的漏洞快速挖掘,面对庞大的内网渗透还是比较少遇到的,内心还是有些小激动,于是周一当天便联系好同去的项目经理到达客户现场,该单位的安保还是较为完善的,办公大楼的进入需要员工卡才能出入,访客需要去门卫楼拿身份证登记,使用有次数限制的二维码进出办公大楼,在客户的带领下到达客户某信息化部门办公室,开始沟通安全巡检的细则,明确本次巡检的范围等。由于是在内网进行渗透,便和客户沟通使用自己的电脑接入内网进行渗透,由客户那边提供连接到内网的IP,于是客户便安排斗哥在会议室内开展本周的渗透测试,上午在调试好内网连接的IP以及拿到客户给的资产(主要是地市内网的渗透,不包括集团和省公司的服终端和服务器),然后便开始了进行安全巡检的玩耍啦~

巡检分5天时间,按照斗哥的计划是周一主要是常规的巡检工作,周二到周四主要是内网渗透,周五就是收尾、截图整理巡检报告等工作。

本次巡检分为常规的安全巡检工作,抽查部分服务器网络设备进行配置检查等,另一个重点工作就是对内网进行渗透攻击,内网渗透的目的当然是拿服务器权限,拿下内网的控制权限,并且尽可能多得帮客户发现内网安全问题,简单来说就是要撸穿内网,不过内网的服务器有分为三六九等,普通的可能是办公网的主机,打印机,边缘的网络设备之类的的设备的权限,好一点的如何说存在敏感信息,账号密码的办公网终端主机,普通web系统服务器这类,高级一点的是拿下域控、堡垒机这类的能控制整个内网的设备。

内网渗透的终极目标是拿下内网的控制权限,如何达到这个目标过程中要做很多的尝试,尝试很多思路,直至达到我们想要的目的。不管如何达到我们内网权限控制的目标,信息收集都是我们的内网渗透的首要工作,在斗哥看来,信息搜集是贯穿整个渗透攻击过程的重要环节,搜集哪些信息、如何关联利用这些信息,这就取决于渗透攻击人员对信息的敏感度,积累的漏洞经验等。

由于时间紧任务重,在常规安全巡检的时候斗哥也同步使用nmap对内网存活的IP和端口的开放情况进行扫描,使用nessus对主机漏洞进行扫描,以及对内网外进行信息收集,当然内网最常见的还有永恒之蓝漏洞,于是斗哥便寄希望于通过永恒之蓝漏洞来撕开内网渗透的口子,废话不多说直接上工具脚本进行测试,但是天不遂人愿,内网居然没有永恒之蓝的漏洞,不科学啊!为此斗哥只能放弃这条思路,寻找其他突破点。

由于斗哥是内网授权测试,因此考虑利用ARP欺骗的原理对内网进行嗅探,看能不能嗅探到内网一些敏感信息,这里斗哥使用的是kali下ettercap进行敏感信息嗅探,由于允许斗哥接入的办公网存活的主机并不多,有由于ARP欺骗攻击无法跨网段,也有可能嗅探的时间点不没掐好,总之斗哥没有探测有有价值的信息,该思路就在只能暂且挂起。

挂起.webp.jpg

等待扫描结束,斗哥发现内网有大量主机开放了21、22、139、445、1433、3389、3306、80等端口,于是斗哥的第一想法是对21、22、3389、3306等端口先用常见的弱口令字典去进行爆破,同时斗哥对相关的端口进行访问以便进一步搜集内网相关信息,发现了有些IP地址开放的21端口存在非授权访问,其中大部分是打印机的ftp端口,暂时没有找到很好的突破口。

这时候部分nessus的扫描进程扫描结束,于是便先来看看是否有扫描出可以直接利用的主机漏洞,中间件,数据库等类型的漏洞啥,由于客户给斗哥的资产大部分属于办公网的终端主机,服务器只给了8个IP地址(上面的web应用是类似于北信源的桌面管理系统、海康、大华这类的监控管理系统等web的登录页面,按斗哥的经验,这类系统没啥搞头,除非有0DAY,只能先放着),因此斗哥的大概思路是想说先想办法拿到一台终端主机,然后再进行后续攻击。

扫描完毕,通过查看nessus的扫描报告,斗哥发现内网终端主机私自搭建web服务导致该主机上面的所有目录可非授权访问,通过浏览访问斗哥才发现原来是终端客户安装了everthing软件,并且启用了ftp和http服务,借助于everthing强大的搜索功能,感觉能翻到很多有价值的信息~~~

信息.webp.jpg

于此同时斗哥还发现该主机竟然还开放了3389端口,大家都知道windows的密码hash保存在sam文件中,于是斗哥便想到通过下载sam文件,获取hash解密,然后通过3389远程桌面登录这台主机,然鹅理想很美好,现实很骨感。ftp和http访问下都没有下载sam文件的权限,无奈只能放弃该思路,再寻找其他突破点。

突破点 2.webp.jpg

此路不通,只能继续翻翻看,看是否有其他有价值的信息,在everthing上通过搜索密码,发现有多个记录密码的txt文件,果断访问之,得到了一些网站,以及网站对应的密码,发现大部分密码被修改过,并且部分网站属于省公司集团的资产,不属于本地市的内网渗透范围,遂只能另寻他路。

他路.webp.jpg

另一方面斗哥用kali下自带的hydra在内网对3389、22端口爆破毫无进展,导致斗哥严重怀疑用了假的工具,于是在本地进行测试一下,发现确实不能爆破,初步判断可能是因为虚拟机上使用的kali的hydra与windows的3389远程登录协议不兼容的问题吧,于是只能辗转使用hydra的windows版本,由于hydra只能对单个IP进行爆破,大佬便丢给斗哥一个专门的3389爆破工具,万事俱备只欠东风,爆破工具有了但是好的爆破字典能也是非常重要的,于是斗哥又回头去分析前期搜集的信息,密码规则等生成一个社工爆破字典再加上常见的弱口令字典进行爆破。

在3389和22端口爆破的时候,斗哥又根据客户给的资产里面针对服务器web这条路寻求突破口,翻了一遍下来都是一些登录的页面,账号不可猜测,账户和密码加密hash加密进行传输,还有错误锁定机制,大部分属于不好爆破的类型,只有一个web系统账号名可判断,因此判断存在admin账号,剩下就只能爆破,但是由于爆破的账号和密码需要加密进行爆破,比较消耗资源,因此斗哥暂且不考虑这个方法。

当然根据内网办公网扫描的端口80、8080等http协议的漏洞斗哥在访问的时候发现有tomcat中间件,于是想办法探测tomcat的版本号,然后上网查看对应版本号是否有可利用的未修复的漏洞等,同时其他的http的身份验证的接口,也同样进行了常见弱口令的爆破。

这时候斗哥爆破许久的3389终于有结果,还爆出不少账号,小激动的一番,果然信息搜集总能在出其不意的时候有神迹般的收效,于是斗哥便登录上去,发现其中大部分对应的办公网的主机,那么拿到终端主机的权限,斗哥的下一个目标就是要想办法拿到内网服务器的或者其他能控制其他内网更多主机权限的主机比如域控这类的服务器。

服务器 111.webp.jpg

通过3389远程登录,斗哥发现办公网用户有很多用户登录了OA、邮箱等工作中常用到的系统,因此便想办法获取web系统的账号,然后登陆到对应的web系统在进行下一步的漏洞挖掘getshell提权,为了能快速获取浏览器上记录的账号密码,大佬又丢了一个工具给斗哥,于是斗哥便获取了浏览器上记住的账号密码,便尝试登陆到应用系统,因为对应的都是一些生产要使用系统,于是斗哥便向客户确认是否可以进行下一步渗透,无奈被客户告知是集团的系统不属于本次渗透范围,遂只能作罢。

于是斗哥又拿着获取到的账号密码去猜测最开始客户给斗哥的web系统的登录页面,还真是人生处处有惊喜一猜一个准,真的是开心到手舞足蹈,因此斗哥得出一个结论,一旦知道一个口令,那简直可以在内网横着走,因为整个内网使用的密码无外乎就那么一两个,虽然有些小夸张,但是整个内网安全与否看是不是防护最好的那个系统,而是最脆弱的那个短板,一旦被攻击者发现利用,就会殃及整个内网。

本次整个内网渗透就差不多这样结束,期间斗哥一直试图寻找域控,想要拿到内网更多的控制权限,后来回去后听大佬说正常域控都需要输入域名之类的再进行身份认证,而斗哥远程登录3389的时候根本不需要输入域名啥的,因此判断该内网可能不存在域控。

以上便是斗哥内网渗透的经验分享,由于知道的漏洞和了解到漏洞并不是很多,导致斗哥在实际渗透的时候收效甚微,对于内网渗透还需要更多的实践,还需要跟大佬多学习,有经验的小伙伴欢迎在评论区留言来跟斗哥一起交流学习。

工具分享: 

1.永恒之蓝:

链接:https://pan.baidu.com/s/1xzwCs6YMkMtQIszhrL3dfQ

提取码:j5g1

2.链接:

https://pan.baidu.com/s/11zZBG_cAnEkjdROzs6EFiw 

提取码:2daz

3.获取浏览器账号:

https://github.com/kalivim/Powershell_fisher 

4.hydra8.1_win:

链接:https://pan.baidu.com/s/1VkKTAI-xo2IjlrhsJldL9g

提取码:awqm

5.3389爆破:

链接:https://pan.baidu.com/s/1ViL1cfiNTJKW9dIIAr17fw

提取码:tbd6

qrcode_for_gh_223e082fe8a7_430.jpg

来源:freebuf.com 2019-08-27 15:36:22 by: 漏斗社区

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论