随手记

一、第51篇:某运营商外网打点到内网横向渗透的全过程

  1. 外网信息收集过程

    发现了一个废弃的3级域名的站点,上面直接一个struts2漏洞,然后又是拿下权限

  2. 架设第一层代理

    1. 上传了reGeorg脚本,通过http隧道对内网进行渗透
    2. 上传了一个爆破密码的小工具
    3. 通过SMB口令、SQLServer口令提权、SSH口令、RMI 1099代码执行等方式,获取了几台内网主机权限。
    4. 收集本地shadow文件、linux环境变量、linux的history文件、浏览器记录、服务器上的数据库配置文件等,继续做成密码字典,重新进行内网各种口令爆破,继续拿权限,这样周而复始做过几轮之后,拿了很多权限,有windows主机,也有Linux主机。
    5. 通过整理已经获取的主机权限发现,内网获取的权限集中在192.168.x段,内网各段功能划分比较规整,比如在192.168.1.1/24网段内,存放的都是Linux的FTP服务器,提供一些操作系统镜像文件、常用软件、各种文档的下载;在192.168.19.1/24网段内,有一些win7系统,还有一些打印机设备,推测是一些员工机器。

  3. 内网寻找通往10.x段的机器

    1. 挨个执行ipconfig /all命令并分析结果,挑选了一台双网卡机器作为跳板机
    2. 最终在跳板机上上传一个扫描snmp弱口令的工具,很快找到了10.x网段内的10几个snmp服务弱口令,通过一个snmp信息查看工具,每一个snmp口令登陆之后通过OID查看各种信息,有的SNMP服务可以看到很多内网IP地址
    3. 使用工具在10.x段内进行漏洞扫描,通过各种口令、通过各种漏洞获取了很多内网服务器权限,部分机器是有多个管理员账号的,本地提取shadow文件,对hash进行破解,找到了两个疑似运维账号的弱口令yunwei:Yunwei@123、P@ssw0rd01

  4. 域控权限获取

    1. 有一个管理员登录了我在内网的一个跳板机,在3389连接框上面显示了从未见过的账号,于是赶紧用mimikatz提取哈希,发现是一个高权限的域管账号。

周末待看