一、 前言
由于之前寫過幾篇都是拿到WebShell後就結束了,是以本文略過前期拿WebShell的過程,側重點在擷取了WebShell後的思路。本文為實戰類文章,僅到内網做了初探,故較為基礎,适合像我這類型的小白,大佬略過。實戰最大的樂趣是可能會遇到各種問題,不像自己搭環境,一路幹脆利索。是以實戰更多的是思考及嘗試。
PS:截至投稿前,已将漏洞送出廠商并驗證已完成修複。
友情提示:測試過程中請務必遵守相關的法律法規,在有授權的前提下做測試。
二、資訊收集
前期獲得WebShell,一句話連結位址:http://xx.com/img/x.jsp。
菜刀連接配接後,常見的資訊收集指令如下:
Whoami
Systeminfo
Netstat -nao
Tasklist /svc
Ipconfig
Net share
Net user等等
但此時執行指令出現如下錯誤:
執行不了CMD指令,這種情況有可能是Tomcat中間件或伺服器做了相關限制,可以嘗試上傳一個CMD,進行嘗試。
此處仍舊執行不了CMD指令,通過對該IP的掃描,發現隻開放了一個8889端口。故應是内網的伺服器通過NAT映射8889端口對公網提供服務。
是以目前要做的是找到伺服器的内網IP位址,添加一個使用者,建立代理進入内網。一般來說JSP腳本預設權限比較大,有可能直接就是System權限。此處可直接讀取Administrator的桌面目錄,則說明目前權限起碼是Administrator權限,否則會提示該目錄拒絕通路。
是以時無法執行CMD指令,故收集伺服器上的敏感資訊,找到資料庫連接配接資訊,并連接配接資料庫。
如上成功連接配接資料庫,嘗試利用Mssql的XP_Cmdshell進行CMD指令的執行。
開啟xp_cmdshell:
EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE
執行指令:EXEC master.dbo.xp_cmdshell 'whoami'
成功執行CMD指令,目前已為System權限,收集到的資訊如下:
伺服器:Windows Server 2008 R2 Standard;
IP位址:172.16.10.1;開啟了3389端口;建立了測試賬号。
三、建立代理
由上述已經擷取了伺服器内網IP位址及建立了賬号,由于伺服器是在内網不能直接連接配接,故需要通過代理才能連接配接該内網伺服器。
此處第一次上傳reGeorg的jsp代理腳本,直接被伺服器殺軟殺了;使用冰蠍的腳本成功上傳,并開啟了代理。
使用SocksCap進行代理連接配接,使用建立的賬号登入伺服器。
登入後可以看到伺服器安裝了Symantec Endpoint Protection防護軟體,檢視防護日志,之前reGeorg的jsp腳本就是它被删掉的。如果不是免殺類的EXP,執行檔案都會被殺掉。
四、内網初探
進入内網後,本白主要就是做資訊收集,例如抓本伺服器密碼,掃内網各種伺服器弱密碼,Ms17-010高危漏洞等等。
1、抓本伺服器Administrator 密碼。
2、檢視内網的共享資源清單,可以檢視目前有00網段和10網段,此處發現了另外一個網段。
3、掃描10網段開放了80,8080等web服務的主機。
4、掃描10網段網段存在MS17-010漏洞的主機。
5、掃描10網段存在服務弱密碼的主機。
6、檢視10網段的Web服務。
如上,可以看到10網段基本是監控與少數伺服器所處的網段。
接下來對00網段進行以上的掃描。
1、掃描11網段存在服務弱密碼的主機。
通過以上的弱密碼,即可以直接登入伺服器,危害較大,如下。
2、檢視00網段的Web服務。
資料挖掘管理背景存在admin弱密碼,登入可以擷取相關的接口資訊,如下
OA伺服器登入界面
如上,通過對00段的掃描通路,可以看到該網段主要為伺服器網段。
若要繼續,更多的還是做資訊收集,發現或掃描内網更多的網段及服務,哪些存在弱密碼,哪些存在漏洞等。
五、總結
本文作為内網初探,由于本白能力和精力的限制,僅驗證了漏洞的危害内網後便送出廠商了,沒有繼續深入。其實通篇下來也隻是利用了内網一些服務弱密碼,如果要繼續内網橫向滲透可以從以下幾個方面:
1、 RDP爆破,通過抓取本伺服器的密碼,爆破内網中其他同密碼的伺服器。
2、 MS17-010漏洞,通過該漏洞可直接獲得伺服器權限,但可能造成伺服器藍屏,需謹慎。故本文也沒有對該漏洞進行利用。
3、 對已登入的伺服器繼續做資訊收集,如收集密碼,一些資料庫配置連接配接資訊,檢視網段等。
4、 對已發現的Web伺服器繼續做測試,如發現的很多海康監控、OA系統等,可以做弱密碼爆破。對發現的資料挖掘Web Service接口進行測試,是否存在注入,未授權等。不過這樣下來篇幅會很長,需花費很多的時間及精力。
5、 内網ARP嗅探,在無上面的正常漏洞情況下可以嘗試,但不建議使用。
相關實操練習
1、 利用kali工具進行資訊收集:http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015082709512800001
2、 代理工具的使用——介紹各種代理工具的使用,針對不同作業系統,不同代理類型進行實踐學習:http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017032414181900001