攻防演习之三天拿下官网站群

ivi

Jerrytqq 夜组安全 2023-09-13 00:00 发表于青海

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

攻防演练

01

背景

某次攻防演习，受邀作为攻击队参与。其中一个靶标是“拿下靶标的 xx审批系统 以及 官网控制权”。

本文由好兄弟Jerrytqq原创并首发Freebuf，同意转载并至夜组安全并打原创标识。

02

通过地级市进入政务外网

靶标服务器通常存在于物理强隔离的机房中，再加上本次目标单位特殊，通过一次跨网段横向移动摸到靶标的可能性几乎为零，因此我们把目标聚焦于靶标所属的政务外网上。

（搜狗百科：政务外网与互联网是逻辑隔离，供非涉密及仅用，在地市级建有数据交换中心，可以将部分可山公开的信息转换至互联网区，供公众查阅。）

通过靶标单位在外网公开的业务，并没有找到入口点，于是我们进一步扩大范围，针对靶标单位的下属单位进行渗透，找到某综合服务平台存在弱口令。

虽然该平台涉及业务金额很大，功能齐全，但是并不在我们的靶标之内，所以必须尝试getshell后进行内网渗透。

很快找到了一处上传点，没有任何限制，成功上传aspx类型webshell成功getshell。

经过简单信息收集，获得如下关键信息：

1、双网卡主机，其中一张网卡通向我们想要进入的政务外网。

2、主机出网，于是建立socks5反向隧道成功进入政务外网。

03

摸到靶标，陷入困境

政务外网的资产繁多，有多个单位的服务搭建在上面。为了快速锁定靶标单位所在网段，我们通过扫描80端口，得到对应的web title，从中提取出每个单位对应的大致网段。

锁定靶标大致网段后，针对该网段进行常用端口、带POC的扫描。通过本次扫描，获得了一些进展：

1、发现了靶标入口，但仅仅是个web界面的登录入口，不存在弱口令、命令执行等漏洞，暂无头绪。

2、发现某平台存在shiro反序列化漏洞。

成功注入内存马，通过webshell管理工具进行信息收集，发现如下信息：

（1）主机不出网，通过端口映射映射到政务外网，存在物理隔离，通过扫描该内网发现没有后续渗透价值。

（2）通过对windows主机信息收集，使用navicat解密工具，发现部分数据库连接凭证。其中包含一个政务外网IP的MSSQL数据库连接凭证，通过MSSQL命令执行获取到数据库主机权限。

这里可以看到连接的是59开头的IP，但是通过ipconfig命令看到的却是192开头的内网IP，因此可以推断出该数据库搭建在某物理隔离的内网，通过端口映射将内网数据库端口映射到了政务外网IP的某个端口上。

这时便出现一个难题，如何突破这层边界进入到192开头的内网？

a) 主机不出网，无法搭建反向隧道。

b) 通过mssql命令执行获取权限，且存在端口映射，无法通过http协议建立正向隧道。

经过讨论，终于发现一处突破口：该数据库主机虽然不通外网，但是通政务外网，也就是我们进去的第一层IP为59开头的内网，而在第一天的渗透中我们已经掌握了大量政务外网中的权限，于是我们在政务外网已掌握权限的主机中挑选出一台绝佳的Linux主机，作为我们的C2服务器，成功在linux主机上搭建CS服务器和文件下载服务器。

此时又遇到了一个问题，目标主机上存在杀软，使用certutil下载文件被拦截，这时我祭出珍藏多年的bypass语句（双写certutil），成功绕过AV执行命令下载文件。

成功搭建代理隧道

exe木马存在兼容性问题，使用dll文件成功上线CS。

此时我们已经成功突破边界进入到二层内网（192），通过CS抓取主机密码，隧道打通后成功连入主机RDP。

桌面可以直接看到我们刚刚绕过的火绒，记录有vcenter密码的txt，还有vcenter的控制面板，成功拿下一个靶标。

此时还剩下另一个靶标，也就是之前刚进政务外网摸到web入口的那个界面，没有任何头绪，陷入僵局。

04

峰回路转-安全设备不安全

第三天，我们开始在二层内网继续漫游，通过很简单的手段获得了很多主机的权限，其中包括某个摄像头管理平台的权限，通过对摄像头画面的分析，我们发现此时所处的网段正是目标单位大厅所在的局域网。

与此同时，局域网内各种各样的设备、系统也都得到了访问权限，但是就是没有找到第二个靶标相关的权限。尽管成果重大，但还是感觉差了临门一脚，需要把另一个靶标拿下才算完全打穿，于是我们便开始了更为细致的的渗透。

终于，我们在一个安全设备取得了突破。

我们发现了某上网行为管理系统的web登录界面，而这个设备恰好前些年爆出过一个漏洞，可以构造url查看敏感信息，我们通过这个漏洞获取到了该系统的密码MD5并成功解出哈希。

翻了翻这个设备的使用手册，发现了该设备全流量监测日志功能的位置，指定过滤条件目的IP为第二个靶标web界面的IP，发现了登录的数据包，其中含有登录凭据。

终于，通过这个凭据进入了第二个靶标系统，直接拥有控制目标单位整个网站群的权限！

至此，目标单位2个靶标被拿下，完全打穿，收工下班。

05

攻击路径梳理

1、以某下属单位作为入口，成功突破边界进入政务外网。

2、在政务外网中利用shiro反序列化拿下某平台。通过主机中泄露的配置文件，连上目标单位某数据库，通过数据库执行命令再次突破边界，进入目标单位内网。

3、在内网中通过公开漏洞，拿下部署在内网边界的“xx统一上网行为管理”。“xx统一上网行为管理”设备具有流量审计功能，利用该功能定向嗅探并提取内网员工终端访问政务外网靶标“xx群管理平台”的登录流量，获取到了管理平台管理员权限的账号密码，最终拿到靶标，接管整个站群。同时，还依赖“统一上网行为管理”设备嗅探到了多个相关系统的明文口令，迅速扩大了战果。

06

反思总结

1、政务外网存在逻辑隔离，很多单位员工认为其不通互联网，从而忽略了政务外网的网络安全。实际上政务外网也存在很多入口点，容易被不法分子利用。

2、进入政务外网后资产量非常大，漏洞也不少，通向多个内网，渗透工作量巨大。文中省略了很多我们攻击过程中绕的弯路，只选择了关键节点分享。如何快速找到靶标、确认哪些IP是目标单位资产，值得我们研究。

3、突破第二层边界时的环境是我目前遇到过最刁钻的网络环境，不出网＋无法正向代理，绕来绕去才想到在第一层内网搭建C2服务器的办法。不过搭建时要注意保护服务器完整性和可用性，注意合法合规，及时报备。

4、最终突破靶标是借助了全流量安全设备的漏洞，一个安全设备反而导致了严重的安全问题，针对安全设备漏洞的防范不容小觑。