从互联网至内网横向渗透攻击链实例——寻找卡巴斯基key之旅

作者：sakura@白帽汇零妖攻防实验室

前言

事情起因是对机构做渗透测试（已经得到相关授权），从WEB打点 到内网横向移动，一些经典常用内网手法再现，记录一次完整的渗透过程。

正文

目标网站是某大型机构网站，一般这种网站少不了二级域名，根据二级域名可以判断有哪里服务，例如CITRIX、CISCO等。

判断某二级域名存在SQl字符注入，直接SQLMAP注入，跑出密码后进后台很轻易的拿到了SHELL，如图所示。

WEB不是重点、重点是内网，一般这种WEB搞下来之后也是在DMZ区里，内网一般分DMZ、办公OA、核心区。既然已经迈出了第一步，继续向核心内网出发。

在之前扫二级域名C段的时候发现有一个思科的VPN，确定为该目标的VPN，那么用现有的目标后台密码发现没有成功，如图所示。

想到一般情况下邮箱名字也就是用户名，来到https://hunter.io查了下有不少邮箱用户名，整理了下开始用弱口令字典爆破，最后也是没有成功。

后来用BING查了下该目标网站下不少目标的子域名，

不过大多程序都是wordpress的。LINUX试了常见的提权均失败。目录跨不过去，不过在一个备份文件发现了两个数据连接密码，连接成功后可以直接读取到wordpress的库，但是

wordpress的密码破解根本没戏，所以我准备update一下，正好本地有wordpress环境，把本地的密码上去替换一下就OK，语句如下：

UPDATE pwkzr_users SET user_pass ='$P$BnXuv020py.7rwqTRuBskz0Usu9pgO1' WHERE ID = 16

密码为admin123!@#,这样成功登录了wordpress后台，如图所示。

wordpress后台getshell网站文章很多，就不过多介绍，拿下wordpress的目地是为了获取后台登录密码，然后去爆破目标VPN地址，但是密码破解不出来只能在登录的地方做手脚了，在

wp-includes/user.php文件的wp_signon($credentials = array(), $secure_cookie = '') { }函数里面添加如图代码,提示：注意修改保存密码文件的地址。

等了几天成功劫持到了管理员的账号、密码等信息。如图所示。

很幸运的是劫持到的后台密码可以登录VPN，这种思科的VPN和其他代理如frp、gost等不一样的好处就是可以直接在本地ping、IPC、WMI等操作。如图所示。

现在目前有的就是一个普通的域用户，IPC连接成功后，试了几台机器都是没权限的，这里我使用gru去批量扫描一下其他机器的用户名，我要找的就是我现在有的用户名

在某台也许就是本地管理组权限，如图所示。

即使没有权限也是可以获取到用户名字的。就这样找到了一台本地管理组的机器，登录成功，接下来就是修改注册表抓取本地密码，因为

目标装有卡巴企业版，需要用修改过的MIMIKATZ才可以绕过卡巴的LSA的内存保护，至于怎么绕过卡巴DUMP密码，不在本文的范围之内，以后有时间会专门写篇文章。

最后成功获取到了本地组的administrator用户的密码，最后在用administrator的密码成功登录了很多机器，如图。

很多时候大家是查找域管理员，其实还要看看企业管理员，因为如果内网涉及到子域的时候，就会知道企业管理组有多重要，Enterprise Admins 组是仅出现在林根域控制器中的组，该组的成员对林中的所有域具有完全的管理控制权。

该组被自动添加到林中的各个域的Administrators组中，提供对所有域控制器配置的完全访问权，一般企业管理组的用户也就是域管理员，但是域管理员不一定在企业管理组里。

而域管理员组是存在于每个域中的组。该组的成员对域具有完全的管理控制权。

在登录某一台机器的时候tasklist /v的发现有域管理的进程在，如图所示。

这个时候其实我们就不用在去改注册表抓密码了，直接用token切换到这个域管理的权限就可以了，如图所示。

3.46为邮件服务器，其他上再上去抓一次密码都就OK了，突然想到之前有朋友问我有没有卡巴企业KEY，这不正好有了么？一般这种卡巴企业版的KEY会放在卡巴管理中心，找到卡巴管理中心也很简单，我们看下卡巴的进程连接，

如图所示。

在看下连接信息，基本已经确定卡巴管理中心的IP了，13111也是卡巴管理中心默认的端口，接下来用之前搞到的密码连过去搜KEY就OK了，如图所示。

至此告一段落。下图是整个实战过程攻击链，感谢热心网友@亮提供的拓扑图，使文章更加直观明了。

总结

在对不同“地区“网站做渗透测试的时候可能与常规思路不是太一样，前期内网信息收集很重要，尤其对Enterprise Admins 组和本地管理组的查找，判断出内网大概环境，才能更好定制下一步思路。