從Web弱口令到的獲取集權類裝置許可權的過程

x01 web弱口令獲取ssh許可權

對公網的埠進行掃描後，發現443埠是某廠商的vpn管理平臺，透過預設賬號密碼：admin/xxxxx進入平臺，發現該平臺可以連線內網中的機器，於是想著用該裝置的ssh做一次代理，進入內網。（PS：一般情況下裝置的web賬號密碼也是ssh的賬號密碼）。

telnet 22埠，埠開放，但是ssh連線則又顯示不可達，如下：

諮詢了團隊大佬，說是有ACL限制了。剛好裝置裡面可以修改ACL，於是修改ACL允許我的IP進行連線。

裡面有很多的ACL規則組，不知道該在哪個規則組裡面新增，於是下載完整的配置檔案：

在配置檔案中看到，與vty相關的是2001這條ACL規則，配置如下：

所以將自己IP加到2001這個ACL規則庫中。加了ACL規則以後，就可以連線了。

嘗試用pl ink從ssh做轉發進內網，但是安全裝置不同於linux，沒法代理。

0x02 新增vpn進入內網

設定L2TPVPN服務端：

然後，連線VPN，具體過程如下：

儲存後，連線VPN，會報如下錯誤：

win10需要調一下才行，具體步驟如下：

進入“控制面板\網路和 Internet\網路連線”

找到剛新增的vpn，右擊屬性，在“安全”選項中調整如下：

然後再連線，即可連線。

然後訪問客戶給的某個系統 10。0。2。1，無法訪問，tracert一下跟蹤一下路由，看通不通。

無法訪問，但是路由能通，不知道是什麼情況。又跟大佬們溝通了一下，才知道是因為沒有做源地址轉換，於是新增NAT轉換：

選擇Easy IP，不需要自己過多配置，關聯的ACL選擇新新增的名為SSH的acl規則。

選擇10。227。9。89這個口子，依據是tracert的下一跳是10。227。9。90。

然後還需要新增兩個ACL，一個是以移動出口上網的ACL為了測試過程中能查資料，另外一個是剛才與源地址轉換關聯的ACL規則，以便訪問到內網系統進行攻擊。

移動出口上網的ACL對應2000，訪問內網ACL對應ssh，如下：

然後再訪問內網系統，即可訪問到了。

0x03 內網資產發現

以前內網發現都是用timeoutsocket，而這次用timeoutsocket一個資產都沒發現，包括已有的部分目標都沒發現。後面使用F-NAScan掃到了很多存活主機。

主機裡面應用類較少，裝置比較多，弱口令也比較多，這裡就不提了。主要說下集權類裝置的發現。

內網共發現兩臺集權類裝置，一個是某廠商的終端檢測，如下：

嘗試了常用口令，沒進去。

第二個是另外某廠商的的終端檢測系統，透過弱口令進了後臺。

0x04 獲取內網伺服器許可權

這個裝置裡面，支援執行命令，檔案分發、檢視使用者等內容。所以有以下思路：

1、啟用guest使用者，設定密碼，加入管理組

2、powershell+cs上線

方案選定-進行嘗試

由於內網機器不能出網，所以不考慮方案2，顯然方案1更成熟一點。

嘗試啟用guest使用者，等一系列操作，如下：

命令執行以後，檢視如下：

紋絲不動，無奈問了廠商的售後，才知道正確的執行方法如下：

然後編寫bat，透過檔案分發，下發到目標上。bat內容如下：

net user guest /active：yes && net localgroup administrators guest /add && net user guest qax@1234567qwert

這裡不能選擇

接收後執行

選項。只有exe才行，但是會在伺服器上提示，這都是後面才發現的。

選擇系統根目錄就是

c：

。

然後命令執行，如下：

執行以後看使用者，還是沒變化…

除錯階段-突破攔截

沒辦法突破以後，就看了下首頁還有啥沒點過的

看到了客戶端下載的地方，然後下載一個安裝到虛擬機器，執行加使用者命令進行除錯。

這才發現原來是殺軟給攔了，難怪一直不成功。

因為後臺可以直接透過按鈕啟用guest使用者，就想啟用以後克隆使用者，然後發現，克隆使用者的exe也報毒了

後來看資料，看到net1，想試試net1能否加使用者，如下：

可以啟用使用者，可以改密碼，無法加入administrators組。

於是想到先用mimikatz讀取密碼到本地，然後重置administrator的密碼，登入伺服器後再改回來。

順利登入伺服器

找朋友要了一個mimikatz，然後將mimikatz分發給目標，然後用2。bat讀密碼，2。bat如下：

mimikatz。exe “”privilege：：debug“” “”sekurlsa：：logonpasswords full“” exit >> log。txt

然後再用3。bat重置administrator密碼，3。bat如下：

net1 user administrator xxxxxx@1234abcdxxx

之後登入伺服器：

到c：根目錄下找到log。txt，然後把administrator的密碼改回原來的密碼。

至此成功獲取伺服器許可權

0x05 擴大戰果之內網橫向

使用讀取到的密碼在內網掃描，最終獲取10幾臺伺服器許可權。

RDP是用7kb的RDP-Sniper掃的，SSH是用超級弱口令工具掃的。超級弱口令工具掃RDP的結果並不準確，只掃出了兩個通用密碼。而RDP-Sniper掃出了10，效果還是很明顯的。

0x05 技術總結

透過裝置web弱口令登入後臺

開啟VPN新增ACL進入內網

透過弱口令登入集權裝置後臺

突破繞過殺軟登入伺服器

獲取密碼橫向移動

獲取更多伺服器許可權