從Web弱口令到的獲取集權類裝置許可權的過程
x01 web弱口令獲取ssh許可權
對公網的埠進行掃描後,發現443埠是某廠商的vpn管理平臺,透過預設賬號密碼:admin/xxxxx進入平臺,發現該平臺可以連線內網中的機器,於是想著用該裝置的ssh做一次代理,進入內網。(PS:一般情況下裝置的web賬號密碼也是ssh的賬號密碼)。
telnet 22埠,埠開放,但是ssh連線則又顯示不可達,如下:
諮詢了團隊大佬,說是有ACL限制了。剛好裝置裡面可以修改ACL,於是修改ACL允許我的IP進行連線。
裡面有很多的ACL規則組,不知道該在哪個規則組裡面新增,於是下載完整的配置檔案:
在配置檔案中看到,與vty相關的是2001這條ACL規則,配置如下:
所以將自己IP加到2001這個ACL規則庫中。加了ACL規則以後,就可以連線了。
嘗試用pl ink從ssh做轉發進內網,但是安全裝置不同於linux,沒法代理。
0x02 新增vpn進入內網
設定L2TPVPN服務端:
然後,連線VPN,具體過程如下:
儲存後,連線VPN,會報如下錯誤:
win10需要調一下才行,具體步驟如下:
進入“控制面板\網路和 Internet\網路連線”
找到剛新增的vpn,右擊屬性,在“安全”選項中調整如下:
然後再連線,即可連線。
然後訪問客戶給的某個系統 10。0。2。1,無法訪問,tracert一下跟蹤一下路由,看通不通。
無法訪問,但是路由能通,不知道是什麼情況。又跟大佬們溝通了一下,才知道是因為沒有做源地址轉換,於是新增NAT轉換:
選擇Easy IP,不需要自己過多配置,關聯的ACL選擇新新增的名為SSH的acl規則。
選擇10。227。9。89這個口子,依據是tracert的下一跳是10。227。9。90。
然後還需要新增兩個ACL,一個是以移動出口上網的ACL為了測試過程中能查資料,另外一個是剛才與源地址轉換關聯的ACL規則,以便訪問到內網系統進行攻擊。
移動出口上網的ACL對應2000,訪問內網ACL對應ssh,如下:
然後再訪問內網系統,即可訪問到了。
0x03 內網資產發現
以前內網發現都是用timeoutsocket,而這次用timeoutsocket一個資產都沒發現,包括已有的部分目標都沒發現。後面使用F-NAScan掃到了很多存活主機。
主機裡面應用類較少,裝置比較多,弱口令也比較多,這裡就不提了。主要說下集權類裝置的發現。
內網共發現兩臺集權類裝置,一個是某廠商的終端檢測,如下:
嘗試了常用口令,沒進去。
第二個是另外某廠商的的終端檢測系統,透過弱口令進了後臺。
0x04 獲取內網伺服器許可權
這個裝置裡面,支援執行命令,檔案分發、檢視使用者等內容。所以有以下思路:
1、啟用guest使用者,設定密碼,加入管理組
2、powershell+cs上線
方案選定-進行嘗試
由於內網機器不能出網,所以不考慮方案2,顯然方案1更成熟一點。
嘗試啟用guest使用者,等一系列操作,如下:
命令執行以後,檢視如下:
紋絲不動,無奈問了廠商的售後,才知道正確的執行方法如下:
然後編寫bat,透過檔案分發,下發到目標上。bat內容如下:
net user guest /active:yes && net localgroup administrators guest /add && net user guest qax@1234567qwert
這裡不能選擇
接收後執行
選項。只有exe才行,但是會在伺服器上提示,這都是後面才發現的。
選擇系統根目錄就是
c:
。
然後命令執行,如下:
執行以後看使用者,還是沒變化…
除錯階段-突破攔截
沒辦法突破以後,就看了下首頁還有啥沒點過的
看到了客戶端下載的地方,然後下載一個安裝到虛擬機器,執行加使用者命令進行除錯。
這才發現原來是殺軟給攔了,難怪一直不成功。
因為後臺可以直接透過按鈕啟用guest使用者,就想啟用以後克隆使用者,然後發現,克隆使用者的exe也報毒了
後來看資料,看到net1,想試試net1能否加使用者,如下:
可以啟用使用者,可以改密碼,無法加入administrators組。
於是想到先用mimikatz讀取密碼到本地,然後重置administrator的密碼,登入伺服器後再改回來。
順利登入伺服器
找朋友要了一個mimikatz,然後將mimikatz分發給目標,然後用2。bat讀密碼,2。bat如下:
mimikatz。exe “”privilege::debug“” “”sekurlsa::logonpasswords full“” exit >> log。txt
然後再用3。bat重置administrator密碼,3。bat如下:
net1 user administrator xxxxxx@1234abcdxxx
之後登入伺服器:
到c:根目錄下找到log。txt,然後把administrator的密碼改回原來的密碼。
至此成功獲取伺服器許可權
0x05 擴大戰果之內網橫向
使用讀取到的密碼在內網掃描,最終獲取10幾臺伺服器許可權。
RDP是用7kb的RDP-Sniper掃的,SSH是用超級弱口令工具掃的。超級弱口令工具掃RDP的結果並不準確,只掃出了兩個通用密碼。而RDP-Sniper掃出了10,效果還是很明顯的。
0x05 技術總結
透過裝置web弱口令登入後臺
開啟VPN新增ACL進入內網
透過弱口令登入集權裝置後臺
突破繞過殺軟登入伺服器
獲取密碼橫向移動
獲取更多伺服器許可權
相關文章
- 2021-06-23山東寶媽坐月子時的數學推算,破解美國兩套密碼,國家獎勵711萬
- 2021-06-18隆美爾的失敗只因希特勒密電被截?
- 2021-05-08一秒鐘自測!原來你最適合穿這麼高的鞋
- 2021-05-07在家可做的9個高效燃脂動作每天練10分鐘,一個月可穩瘦10斤
- 2021-04-26CleanMyMac清理垃圾時不斷重複輸入密碼解決方法