安全矩阵

 找回密码
 立即注册
搜索
查看: 2406|回复: 0

一次 Shiro 到内网漫游横向渗透

[复制链接]

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-7-2 14:26:19 | 显示全部楼层 |阅读模式
原文链接:一次 Shiro 到内网漫游横向渗透

首先是通过 Shiro 拿到了一台 root:

通过 InScan 看了看内网发现还挺大:

由于当前跳板是出网机器,可以直接通过 wget 下载 frp 到本地:

随即通过 socks5 代理把他内网流量代理出来:


然后反弹了一个 shell 到 msf:(为了方便后续操作)

横向渗透
通过 Inscan 对内网的 WEB 进行探测找到了一个 tomcat 弱口令,通过部署 war 包拿到了 webshell:


通过 tasklist /svc 发现有 360 全家桶:

随后上传了一个冰蝎马:

通过实验室的小伙伴做了免杀上线到 CobaltStrike:

通过 mimikatz 成功抓到 administrator 密码和其他用户的 hash:
  1. WIN-xxxx6V5B45T\Administrator xxxx@1234
  2. WIN-xxxx6V5B45T\xxxx xxxx828302eee5d159a17ce186b0dbf1
  3. WIN-xxxx6V5B45T\Administrator xxxx828302eee5d159a17ce186b0dbf1
  4. WIN-xxxx6V5B45T\xxxxis xxxx@1234
  5. WIN-xxxx6V5B45T\Administrator xxxx8c1e2a750d98cff13ef32e0a1ce0
复制代码

随即通过添加了一个超级管理员用户 asp.net :qwe123.. 方便进远程桌面:


随即克隆了一个 administrator 用户到当前用户:

之后通过 Inscan 扫描出来一台 Mssql 弱口令成功登陆到该数据库:

经尝试 xp_cmdshell、sp_oacreate、sp_oamethod ... 等等都不能利用:

到这里的时候回头看 Inscan 扫描结果,发现有几台 Redis 未授权:

  1. Redis:x.xx.10.43:6379
  2. Redis:x.xx.10.102:6379
  3. Redis:x.xx.10.96:6379
复制代码




针对于 Linux 的 Redis 可以直接写计划任务反弹 Shell:

随后 VPS 监听得到 Shell:

这是一种方式,还可以通过写公钥直接登陆!首先是在本地生成了一个公钥:

然后吧公钥写进计划任务里:(记得要加两个 \n )

  1. set x "\n\nssh-rsa 这里是你的公钥\n\n"
  2. config set dir /root/.ssh/
  3. config set dbfilename authorized_keys
  4. save
复制代码


然后本机 VPS 就可以直接连接它的那台 redis 机器:

之后通过分析这台机器的管理员的习惯,发现了他的密码:

通过此密码成功横向拿到 x.xx.10.102 的 root :

之后通过 inScan 扫描四个网段的大 B 段:x.xx.1.1/16、xx.x.0.0/16,192.168.1.1/16,172.16.1.1/16 发现有很多存活主机:

等待了一天后,第二天发现已经扫描完毕:

由于那台跳板机器没有 chrome 浏览器,所以没能截图:



通过 InScan 扫描出来的 MS17010  成功拿下内网 x.xx.10.50 :

之后通过开启了它的 3389 :

run post/windows/manage/enable_rdp

然后添加了一个用户:asp.net


随即克隆成 administrator 用户:


由于当前机器是不出网的,排查是 DNS 的问题,随即改了他的 DNS 为 8.8.8.8 就能出网了:

随即上线到 CS:

之后提权到 SYSTEM 成功抓到 Administrator 的密码:

  1. WIN-xxxxF42860A\Administrator xxxx@WSX
  2. WIN-xxxxF42860A\Administrator xxxxfe596a5db81874498a24
复制代码

拿到密码后通过得到的密码去横向爆破,又拿到了一些机器:

针对于 Windows 的可以直接登陆远程桌面或者 Psexec 直接获取一个 Meterpreter :

对于 Linux 可以直接登陆目标 SSH:

弄到这里的时候客户叫停,至此不再深入,本次渗透测试到此为止!
InBug-实验室
官网:https://www.inbug.org/
InScan内网扫描器:https://github.com/inbug-team/InScan




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 11:45 , Processed in 0.013663 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表