freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻防演习主场作战是什么样的体验?(社工+近源)
2022-07-31 16:17:53
所属地 河南省

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,渗透测试须授权!

背景:一次地市攻防演习,安排我作为攻击队前去支持。由于本次演习地点恰好在我的十八线家乡,所以我干劲充足,一口气拿下多家单位,其中涉及到一些简单的社工+近源,分享出来,希望给大家看个乐。

“社工”拿下某学校

“获取大学虚拟专用网络账号”

接到指挥通知,攻击某大学。该大学对外开放服务极少,通过简单信息收集,发现3个IP段

1659235275_62e5ebcb772b1e0f93611.png!small?1659235276843

1659235304_62e5ebe8e95aabc506981.png!small?1659235306358

但是大部分都不能公网直连,应该是需要easyconnect(由于敏感词限制,这里用easyconnect代替),来接入学校内网。

此时可以说已经陷入僵局,必须要拿到easyconnect才有得分的可能。

通常想要获取学校easyconnect有以下几种方式:

1、Github信息收集(有些学生会写一些类似签到、抢课的脚本,而统一身份认证的密码有的会硬编码在代码中)

一个以前通过github找到某大学虚拟专用网络账号的截图(当然现在已经失效了)

1659235808_62e5ede0bb1a364aeed0e.png!small?1659235810303

2、咸鱼以查阅图书馆论文查询权限为由购买学生账号,混入qq群借用、钓鱼得到账号。

3、Google hacking、学校公告中分析学号、密码规则,口令猜测。(通常有验证码,不好爆破)。


很不幸,以上3种方式都没有让我获得该大学的虚拟专用网络权限,只能祭出我的最后一招。

本地高中考本地大学的学生还挺多的,依稀记得有一位高中美女同学考上了这所大学,高中时还一起坐过同桌,不过时间久远也好久没联系了,好在还存着她的QQ,目标明确,开始沟通!

1659237120_62e5f300a56c3932d6b0f.png!small?1659237122153

看到这个“哈哈哈哈“就知道有戏!

1659237205_62e5f35570b87a730b8e2.png!small?1659237206810

唠嗑联络一下高中友谊,顺利拿下easyconnect账号!

横向内网渗透

根据以往经验,大学很多IP都是公网的IP,但是要挂上easyconnect才能访问,可以理解为做了逻辑上的网络隔离,内网渗透时面对的IP是一些公网IP。当前主要有3个目标:

1、拿下更多权限。

2、找到出网主机,抛弃easyconnect。(用easyconnect容易被溯源,也不能保证高中同学的easyconnect不受影响)

3、找到物理隔离的内网主机。(类似192.168.x.x这类,部署在学校机房、实验室等位置)


首先针对前期信息收集收集到的几个IP段进行扫描,有了easyconnect之后确实能访问到更多的资产,而此时扫出的web目录大多为“xx流量探针”、“xx防火墙”等等,看到这么多安全产品,有点绝望了。

好在强大的fscan在这3个IP段中找到了为数不多的2个redis弱口令,一台windows,一台linux,windows的没什么思路,linux的一通操作,写ssh公钥拿到了一个ssh的权限。

成功连入ssh,发现新的网段,像是有很多docker。

1659239408_62e5fbf087b105a9eafc5.png!small?1659239410420

这里先不着急对下一个网段渗透,先在本台ssh机器上进行信息收集。

顺利地找到了本机上的配置文件,泄露了本机的ssh口令,其他主机的 mysql密码等信息。

1659248186_62e61e3aeee71f6b165f4.png!small?1659248188569


因为这里是通过ssh获取的权限,那么我就搭建ssh隧道(非常稳定),顺利访问到下一网段(192、172)。

配置文件中泄露的数据库密码也顺利地连了上去,获得很多敏感信息,这里截图就不放了。

使用内网大杀器,密码复用,直接撞出来5台密码复用的ssh机器,mysql也撞出来来了几个,这里不再放截图。

1659239803_62e5fd7b45b95d47ca06a.png!small?1659239804737

发现出网主机

此时我还在用着借来的easyconnect,内心有一些不安,心想要抓紧找一找出网主机了。在和另一位师傅的努力下,成功发现了一个运维平台的弱口令,而这个运维后台给我们提供了天然的拿shell环境。

这里有一个在线运维的功能,可以编写脚本内容,而这个平台管理着多个docker,可以认为我们已经拥有了多个docker的shell。

1659248552_62e61fa8031c38c8f8e63.png!small

先curl测试一下是否出网,出网!那直接反弹shell到我的vps上,成功收到shell。

1659248606_62e61fdedf37859336e52.png!small?1659248608450

同理拿到多台出网docker主机的shell,全部上传npc,给他挂上socks5代理,上线nps,选择其中一个代理,其余隐藏留着备用。

1659250425_62e626f93f7fac2253fc2.png!small?1659250426737

这时就可以抛弃掉easyconnect了,就当从来没有用过老同学的账号!

梳理一下现在的思路

通过nps socks5代理进入学校内网->redis弱口令拿到ssh权限,且ssh通向192/172等网段->搭建ssh隧道

那么通过一层socks5、一层ssh隧道后,攻击机器就可以顺利地访问192/172等网段了。

核心内网拿下vCenter

在对192网段探测时,发现多个web title为" + ID_VC_Welcome + "的站点,应该是大规模用了Vmware的虚拟化平台,想起以前看过的一片公众号文章。干货分享 | VMware vCenter漏洞实战利用总结

1659250293_62e626750f5ddec86205e.png!small?1659250294496

跟着公众号上的exp,很幸运的在一个站点上成功上传了webshell。

1659250040_62e62578465a2b5a1cb1c.png!small?1659250041760

后面想用伪造cookie获取vCenter控制台权限,但奈何data.mdb怎么也下载不下来(遇到过好几次这个问题,有伪造cookie经验的师傅留言指导一下),那么对这个学校的攻击就到此为止了。

近源渗透

在分配给我们的目标中,还有一个xx局,经过前期的信息收集,发现该xx局根本就没有在互联网上暴露的资产。好在主场作战,这个xx局就在我家后面一条街,白天攻击结束后,晚上骑着电动车背着电脑,便开始了我的第一次近源渗透。

WIFI万能x匙

到了xx局门口,正面进入是没辙了,根据一个老师傅的经验,我们在xx局临街楼外边的台阶坐了下来。(蚊子是真多啊)

1659250957_62e6290d0954a6ee5c941.jpg!small?1659250958903

神奇的事情来了,我们拿出APP“WIFI 万能x匙”,显示附近有WIFI可以连上,但是需要6元钱会员才给我们连,此时我们也不确定是否为xx局的WIFI,但还是咬咬牙,消费!成功连入了该WIFI。

1659251225_62e62a1958050cfb49f45.png!small?1659251226741

一看密码“123456789”,顿时觉得这6块钱花的血亏。

在这个WIFI的网段下面简单探测了一下,是没有什么设备的,但是我们再次用弱口令进入了该WIFI路由器的web管理界面。

1659251390_62e62abe91ab9f3079e92.png!small?1659251392117

拿下内网主机

翻来翻去,发现该路由器配置了上一跳的IP 10.x.x.x

1659251792_62e62c501f01261f00d51.png!small?1659251793625

看到这就已经有出活的预感了,直接对这个IP的C段扫一下,发现一台Winserver主机有MS17-010漏洞,MSF指令啪啪啪一输,拿下。

1659251903_62e62cbfa6364607f6562.png!small?1659251905256

把msf会话转移到CS上,通过进程迁移把System权限变为Administrator权限,开启vnc看看屏幕吧。

1659252123_62e62d9b0cd99adb65e85.png!small?1659252124786

好家伙,向日葵、teamviewer都有,还有很多类似2345全家桶的应用程序,看起来这台电脑除了做服务器还被员工用来摸鱼。

这里其实3389 RDP也能直接打开,为了方便还是直接用了向日葵。

拿到管理平台权限

桌面发现了一个Navicat,通过这个Navicat获取了大量数据(截图不放了)。

发现一个web管理网站,密码可以从数据库中提取哈希,再去在线网站解开,顺利登录web界面。

有一些数据,还有很帅的地图。

1659253030_62e63126a70619dcd86cb.png!small?1659253032235

至此,本次近源渗透顺利结束。

总结

1、难得的实战经验,用了一些比较离谱的手段,但整个过程思路还算清晰。

2、第一次打红队,地市级别攻防演练防守较弱,攻击过程还算顺畅,没有受到防守队刁难,还请各位师傅多多指教。

# web安全 # 社会工程学 # 内网渗透 # 红蓝对抗 # 近源渗透
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录