记一次授权渗透测试记录(内网)

作者: H0r2yC 分类: 内网渗透,渗透测试 发布时间: 2020-03-31 16:25

0x01 前言

上周做的项目,写一个小总结吧,由于当时没截太多图,图片较少。

0x02 过程

拿到项目资产表后,从测试范围内,发现了一个采集识别系统。弱口令进去后,找一下有没有命令执行,注入和上传点。在新增模块发现文件上传的点,修改type可直接上传jsp,起初上传一个cmd马,发现命令无法执行,改换冰蝎,命令仍然无回显

猜测可能拦截部分命令,ping dnslog,也未收到相关数据

判断可能被waf拦截或函数未执行,看了一下文件管理,只能读取E盘部分文件夹。文件肯定是要翻翻的,发现了意外惊喜,CRT的sessions配置文件,sessions文件中包含了CRT连接的用户名,加密后密码等信息,加密的密码可解密

解密后做了梳理,一共四五十台linux服务器,识别系统的服务器没办法执行命令,不打算死磕,于是上传regeorg在内网登陆已经解密的服务器

登录后发现ansible服务,linux服务器重心打算往ansible服务器偏移。权限不能丢,打算先上线msf服务器,尝试bash、nc和python等均失败,连接无法建立,又登录了几台机器后还是没找到敏感信息以及重要服务器网段,几个网段都是互通的,所以不用考虑多网卡或可通其他网段的跳板机,直接寻找服务器在哪个网段就好了。目标是几台重要系统服务器,识别系统是其中一个,所以接下来打算先确认识别系统服务器在哪个网段。由于无法执行命令,于是在一台linux主机启用python的SampleHTTPServer,然后本机访问,linux主机接收到请求来自192.168.6.78

确认入口服务器ip后,对C段RDP扫描+密码复用,发现两台可登录

登录后schtasks新建SYSTEM任务,上线cs

插件收集一下系统信息和机器杀软信息,接着spawn到msf进行横向,拿到K8S服务器和几个重要的数据库服务器

后面就没截图了,扫了内网17010,0809,端口服务弱口令、空口令等,最后拿下不少主机,大多是17010和密码复用,内网很多开发测试机器,maven服务器、K8S服务器等,内网蛮大的,项目临时结束,后来也就没能更深入一点。

     

公众号:网安成长笔记