背景
这是一个真实的故事。
有一天,我正躺在工位上,一边吹着空调,一边悠闲地陪青春靓丽的实习生小妹妹唠嗑。突然接到销售大大的电话说去给一个客户做个扫描,让我带个人赶紧过去支撑。
听到这话,我淡定咬了一口手里的苹果,咽了下去,然后打开手机APP预约租了一辆最便宜的车开向了目的地。时间紧,目的地远.
我家都没有回带着另一个实习生妹妹直接去了目的地。阴森森的夜晚还夹闪着电光,车窗外隐约带着些细雨,到现场的时候已经是深夜了,我只好带着浑身打着冷颤的实习生妹妹开了2间房间先行休息。
自动档+手动挡同时进行
第二天到达现场非常壮观,人烟稀薄,一个妹妹也没有看到。耐着性子跟他们的技术负责人吹了会牛x,了解了一下目前情况就把他打发走,自己开始干活。
掏出去年省吃俭用在咸鱼二手市场低价买的电脑,随便拷贝了几个安装环境和工具。
这么大的网络,这么多的C段,漏洞如数家珍,自动化必不可少。
我暂时用的是内网扫描套装,Goby内测版+Xray高级版+爬虫。
自动话思路:
把目标网段丢到Goby中,调用接口扫描出来的资产,(域名/ip)+端口的形式丢到爬虫自动爬,爬完会自动丢到正在监听状态的Xray。
Goby新建扫描任务
调用爬虫的核心代码,从github拿来的
很简单,不多说了。
Xray怎么配置监听,很简单,不多说了。
手动思路:
Goby+Xray+Burpsuite
burp多设置一个上层代理就行了,如图。很简单,不多说了。
一边自己抓包测试,一边xray帮忙fuzz测试,美滋滋。
当然视情况,如果有安全设备防御,尝试降低请求速度来绕过,很简单,不多说了。
从冰蝎到哥斯拉
没花多长时间,高危漏洞就来了:
struts2-045,struts2-046,046基本包含045,懂的都懂,我自己也没去动手研究过原理,手动构造利用payload不太清楚,这边直接上struts2漏洞利用工具,很简单,不多说了。
看了下用户是administrator用户。
直接上传文件,先尝试上传了一个txt测试文件,发现在网站根目录可以正常访问。
然后上传了一个老版 冰蝎jsp木马,提示上传成功。
但是冰蝎连接失败,打开显示500报错。
随后尝试了一下新版的冰蝎,不过连都连不上,估计是有BUG。我这边初步判断冰蝎马是被拦截了。
尝试上传免杀大马,由于大马文件体积稍大了点,200多K,通过利用工具无法成功上传。
随后我掏出Webshell管理工具-哥斯拉,用它生成了一个shell.
点开标签,管理-生成
接着使用Struts漏洞利用工具上传。
提示上传成功,使用哥斯拉工具连接也成功了,很简单,不多说了。
从代理转发到远程连接
意料之中。这是一台windows的服务器,看了一下本地杀软,发现老朋友360,习惯性的,我先是上传了流量转发脚本。
打开网页,查看代理转发是否成功执行。
这里开启代理转发的时候,本地python缺个库,到外网拷贝一个过来,很简单,不多说了。
然后就可以连接本地9999端口,进行代理。
再进行代理访问,很简单,不多说了。
本来是直接配置Goby直接连接sock5代理来扫描,但是这个服务器扫描起来网络跟抽了风一样,所以直接放弃。
看了下本地没有开防火墙,且在之前的测试过程中,猜测我和服务器连接的中间也没有硬件防火墙的策略,所以尝试看能不能直接连服务器,很简单,不多说了。
看了一下,服务器没有开启远程端口服务。
没有开相关服务,因为是管理员权限了,老套路了。
先直接新建一个名叫txf 的管理员账号,很简单,不多说了。
执行开启3389的命令
查看是否开启成功。
尝试直接连接,很简单,不多说了。
ipconfig /all ,看了一下,大概有3个网口,这个内网应该不算小。
随便翻了翻配置文件,收集到了一堆账号密码,很简单,不多说了。
本地不能直接往服务器直接拖拽工具,且通过webshell或者大马上传会连接超时。
断开连接,进行配置,设置共享,很简单,不多说了。
上传个mimikatz抓hash。
咱们肯定要横向渗透,扩大战果的嘛。通过之前收集的密码和当前的密码爆破其他网段的smb服务,最终拿下域控。很简单,不多说了。
总结
本文略微基础,没有什么特别要注意的知识点,很简单,不多说了。