您的位置:首页 > 运维架构 > Shell

【渗透实战】记一次艰难的内网漫游之旅_拿下472台主机shell!

2019-01-25 21:43 751 查看

/禁止转载 原作者
Kali_MG1937
CSDN博客号:ALDYS4
QQ3496925334/

对这几周的渗透成果进行总结

为了这次的渗透攻击能够成功
我做了近两周的准备

第一步:信息收集

我打算先渗透机房的电脑
机房在办公楼里
可没机会给教师的电脑上装payload
我观察过办公楼
12:00和晚上9:00教师就会全部从楼里离开
可是这个时间段机房的门会被锁死,我之前也想过用某些理由拿到机房的钥匙,但最终没实现

之前上电脑课的时候观察过机房的门锁
不是十字孔的锁
之前用自己家的锁和门练过开锁,希望可以打开

第二步:渗透机房

我选择在晚上9:00左右到办公楼尝试打开机房的门
幸运的是机房的锁很松,用铁丝抵住了所有弹子
锁开后成功给教师电脑装了payload

第三步:查看教师硬盘

浏览了一阵老师的电脑,发现了一些关于学校服务器的报告
其中包含了服务器地址
服务器地址:10.11.26.65

第四步:渗透学校服务器

看了下服务器地址
的确是办公楼的地址段
nmap粗略扫描后发现80端口开启

打开网页
试试看有没有注入漏洞
username=‘or’1’='1
password=‘or’1’=‘1
发送post后服务器的确发生了302跳转
可最后看到的不是完整的学生信息,而是500错误
sqlmap扫描后也判断并没有注入点
我返回去查看教师电脑上服务器文件的介绍
上面规定每个用户名的默认密码是123
username=用户名’and’1’='1
password=123
发送post请求,成功登入
再带入sqlmap扫描,dump出注入点
拿到dba权限!

上传shell


通过dump出的服务器信息猜测
服务器一定是Windows XP sp1-2左右的版本
那么果断用nmap扫描445端口
发现ms17010漏洞!

第五步:渗透交换机与路由器

办公楼的地址段是10.11.*.*
查看被渗透服务器的ip信息,发现网关是10.11.254.254
打开http://10.11.254.254
是H3C交换机
很幸运的是账号密码都是默认的
admin
admin
这个弱口令没什么好讲的,纯属是学校的安全没做好
重要的是路由器
通过nmap扫描10.11.254.254以及其地址段下的ip
发现请求无一例外都跳向了192.168.11.1
nmap扫描192.168.11.1,发现根本没有结果
1000 port all down
但奇怪的是nmap在扫描这个ip时总跳出一个提示:
Do the 443 port really open?
接着第二次扫描时就再也没有结果,在停止扫描十几分钟后才能再次ping通地址
直觉告诉我这是学校的防火墙拦截了nmap扫描
因为可能开着443端口
先打开https://192.168.11.1

上网查找锐捷路由器的弱口令
admin
回车!
登入失败!
可惜不是弱口令,那么用burpsuite抓个包看看有没有漏洞
发现有个command参数:sh clock
上网查找了锐捷路由器的资料后发现这是用来测试用户是否有路由器权限的
如果账号密码错误,response则是401 Unauthorized
继续查找资料,发现show version这个命令是不用权限就能执行的
你懂得,改sh clock为show version,发送post

成功爆出服务器信息,并且返回值为302而不是401!
成功进入路由器后台
查看路由器配置

发现Telnet密码为qz123456
当然qz是我们学校的缩写啦
关闭路由器防dos措施和arp欺骗过滤
再次使用nmap扫描
发现了心脏出血漏洞
css注入漏洞
apache畸形请求导致反射攻击的漏洞也出来了


我甚至还利用openssl漏洞dump到了内部js文件

不过拿到权限后就没什么用了

第六步:继续挖掘_渗透学校防火墙

只获得这么一点点小成就的我怎么可能满足!

回头查看nmap扫描结果时发现请求再次被不断发送到了192.168.100.253
根据之前的经验,
192.168.100.253一定做了防护措施
先不进行nmap扫描,避免打草惊蛇
直接打开https://192.168.100.253
果不其然!!

是SANGFOR防火墙!
而且还是2016年的版本!我企图用之前渗透路由器的蠢办法绕过验证,可惜不行
尝试sql注入 仍然不行!
总之就是用尽了各种方法都无济于事

然后我就放弃了当天的渗透测试

回宿舍睡觉时翻来覆去就是睡不着

果然不拿到权限就是心痒痒!!

如果渗透不成,就猜密码!
刚要睡着,发现之前渗透路由器的时候
看到Telnet的密码是qz123456
第二天中午时我打开电脑,尝试输入这个密码
回车!

登入成功!
发现我之前的扫描记录和system攻击全部被记录在防火墙里了!
把攻击记录全部删光,把所有的安全策略全部禁用
并且允许445端口开放

第七步:进一步挖掘_拿到302台主机shell

按照学校安排服务器地址的尿性
应该有其他类似防火墙的主机
我尝试了https://192.168.100.252
结果真的打开了,是行为控制模块
密码仍然是qz123456
学校用了同一个密码。。

按照这个规律
那么之前发现的H3C交换器地址是10.11.254.254
猜测应该会有服务器在10.11.254.254之前
ping 10.11.254.253
超时
ping 10.11.253.253
ping通了!
尝试打开https://10.11.253.253

是和信虚拟终端控制系统
首先尝试弱口令admin,不行!
尝试了qz123456这个密码,不行!
试着改response绕过验证,也不行!(如图)
百般无奈之际,手欠的我不小心多写了一个单引号’
回车!
报错!
我的直觉告诉我有sql注入点!
username=admin’or’1’=‘1’and’1’=‘1’or’1’='1
利用or语句的优先级绕过password的判断

成功登入!
一看,乖乖,这个vesystem系统掌管着302台主机!

而且可以查看每台机子的详细信息,甚至可以监控画面,上传文件!

第八步:挖掘和信系统的注入漏洞

在不断测试的过程中,我发现和信系统在修改服务器信息时存在sql注射漏洞
strName=1
回车,成功修改
strName=1’
修改失败,无疑是因为单引号引起的闭合错误
strName=1’and’1’='1
修改成功!
教科书式的注入漏洞

果断丢sqlmap里,并带上–no-cast参数,因为我通过注入发现某些表是16进制的格式

爆出数据,查看password列
qz1234567
比之前的密码多了个7
我tm。。。

第九步:挖掘傀儡机信息

因为在之前的渗透中关闭了防火墙,禁用所有对smb之类的安全策略
拿到了和信服务器
渗透过程更加轻松了
nmap扫描在和信系统里发现的终端


我的天!这是挖到金矿了吗?!
我找到我们班主任的电脑
ms17010
boom!

在看电视剧。。。
不管了,先查看硬盘
发现一份关于心理健康查询的网站
一看
内网10.10.10.10
我还寻思着着不就是上次被我绕waf给xss注入了的网站么。。
因为没什么利用价值所以这里就不讲了
重点是这个地址的8090端口才是进行心理健康查询的

这个网站进行了一些过滤
经过测试
过滤了%#&’"/等等字符串
且对大小写敏感

所以payload:
username=admin’AnD '1’Like '1
接着就是脱裤
有意思的是
我拿到了全校6000多人的信息
这是tm真的挖到黄金了

第十步:对一些傀儡机收集信息

这部分就可以略讲了
比如教师在登入账号时被我dump到
被我发现某些重要信息之类的
这里放图,自己感受感受



接着顺藤摸瓜把学校广播站日了
弱口令,没什么好讲的

以后可以用广播随便放歌了耶

记录渗透成果

加上教学楼傀儡机和办公楼的主机
算了一下,拿了472机子的权限

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: