从互联网至内网横向渗透攻击链实例——寻找卡巴斯基key之旅

sakura_baimanghui  5天前

作者:sakura@白帽汇安全研究院

前言

事情起因是对机构做渗透测试(已经得到相关授权),从WEB打点 到内网横向移动,一些经典常用内网手法再现,记录一次完整的渗透过程。

正文

目标网站是某大型机构网站,一般这种网站少不了二级域名,根据二级域名可以判断有哪里服务,例如CITRIX、CISCO等。

image.png

判断某二级域名存在SQl字符注入,直接SQLMAP注入,跑出密码后进后台很轻易的拿到了SHELL,如图所示。

image.png

image.png

WEB不是重点、重点是内网,一般这种WEB搞下来之后也是在DMZ区里,内网一般分DMZ、办公OA、核心区。既然已经迈出了第一步,继续向核心内网出发。

在之前扫二级域名C段的时候发现有一个思科的VPN,确定为该目标的VPN,那么用现有的目标后台密码发现没有成功,如图所示。

image.png


想到一般情况下邮箱名字也就是用户名,来到https://hunter.io查了下有不少邮箱用户名,整理了下开始用弱口令字典爆破,最后也是没有成功。

image.png

后来用BING查了下该目标网站下不少目标的子域名,

image.png

不过大多程序都是wordpress的。LINUX试了常见的提权均失败。目录跨不过去,不过在一个备份文件发现了两个数据连接密码,连接成功后可以直接读取到wordpress的库,但是

wordpress的密码破解根本没戏,所以我准备update一下,正好本地有wordpress环境,把本地的密码上去替换一下就OK,语句如下:

UPDATE pwkzr_users SET user_pass ='$P$BnXuv020py.7rwqTRuBskz0Usu9pgO1' WHERE ID = 16

密码为admin123!@#,这样成功登录了wordpress后台,如图所示。


image.png


image.png

wordpress后台getshell网站文章很多,就不过多介绍,拿下wordpress的目地是为了获取后台登录密码,然后去爆破目标VPN地址,但是密码破解不出来只能在登录的地方做手脚了,在

wp-includes/user.php文件的wp_signon($credentials = array(), $secure_cookie = '') { }函数里面添加如图代码,提示:注意修改保存密码文件的地址。

等了几天成功劫持到了管理员的账号、密码等信息。如图所示。

image.png


image.png

很幸运的是劫持到的后台密码可以登录VPN,这种思科的VPN和其他代理如frp、gost等不一样的好处就是可以直接在本地ping、IPC、WMI等操作。如图所示。

image.png

现在目前有的就是一个普通的域用户,IPC连接成功后,试了几台机器都是没权限的,这里我使用gru去批量扫描一下其他机器的用户名,我要找的就是我现在有的用户名

在某台也许就是本地管理组权限,如图所示。

image.png

image.png

即使没有权限也是可以获取到用户名字的。就这样找到了一台本地管理组的机器,登录成功,接下来就是修改注册表抓取本地密码,因为

目标装有卡巴企业版,需要用修改过的MIMIKATZ才可以绕过卡巴的LSA的内存保护,至于怎么绕过卡巴DUMP密码,不在本文的范围之内,以后有时间会专门写篇文章。

最后成功获取到了本地组的administrator用户的密码,最后在用administrator的密码成功登录了很多机器,如图。

image.png

image.png

很多时候大家是查找域管理员,其实还要看看企业管理员,因为如果内网涉及到子域的时候,就会知道企业管理组有多重要,Enterprise Admins 组是仅出现在林根域控制器中的组,该组的成员对林中的所有域具有完全的管理控制权。

该组被自动添加到林中的各个域的Administrators组中,提供对所有域控制器配置的完全访问权,一般企业管理组的用户也就是域管理员,但是域管理员不一定在企业管理组里。

而域管理员组是存在于每个域中的组。该组的成员对域具有完全的管理控制权。


在登录某一台机器的时候tasklist /v的发现有域管理的进程在,如图所示。

image.png

这个时候其实我们就不用在去改注册表抓密码了,直接用token切换到这个域管理的权限就可以了,如图所示。

image.png

3.46为邮件服务器,其他上再上去抓一次密码都就OK了,突然想到之前有朋友问我有没有卡巴企业KEY,这不正好有了么?一般这种卡巴企业版的KEY会放在卡巴管理中心,找到卡巴管理中心也很简单,我们看下卡巴的进程连接,

如图所示。

image.png


image.png

在看下连接信息,基本已经确定卡巴管理中心的IP了,13111也是卡巴管理中心默认的端口,接下来用之前搞到的密码连过去搜KEY就OK了,如图所示。

image.png

image.png

至此告一段落。下图是整个实战过程攻击链,感谢热心网友@亮提供的拓扑图,使文章更加直观明了。

b4b1efaa0cb8f8b8318158afb7ba95a.png

总结

在对不同“地区“网站做渗透测试的时候可能与常规思路不是太一样,前期内网信息收集很重要,尤其对Enterprise Admins 组和本地管理组的查找,判断出内网大概环境,才能更好定制下一步思路。

最新评论

昵称
邮箱
提交评论