奇安信攻防社区-一次省护红队的经历(100w公民信息泄露+找到双网卡主机

一次省护红队的经历(100w公民信息泄露+找到双网卡主机—>内网沦陷)

愿我们都能以拿到第一台机器shell的热情继续学习下去，为网上家园筑起属于我们的安全堤坝！

0x00前言
------

本来开学正忙于实现电竞梦（联盟高校联赛），某一天下午突然有位师傅联系我说可以免面试进组打省护红队，这么好的实战机会怎么能错过呢～（好好玩游戏，不要学我^^）

0x01 一个出局的企业单位内网之旅
------------------

### 打点一

故事的开始是某佬丢了一个系统nday shell给我

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-68f972a55415aa268626072de4e596357bc86c2b.png)

ipconfig发现有10段内网，这种网段内网一般都很大

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-631f0758a1f84409eacd99b096a526e3e9fa13c1.png)

但是这种nday已经被别人扫烂了 目录全是马

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-7de4016893afc33a10a15a54601686c2bee97e8a.png)

发现不对劲，这是什么？！ 哪位不知名黑客昨天传的fscan

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-bd604eadcc665792559551c7307cfefdf6073286.png)

但是目标单位还没出局 先打再说  
准备cs上线 但是发现不出网

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-2b39fe74005dac4701b27cf54d0a9a84f6f8071c.png)

先在哥斯拉传fcsan命令执行扫了一下b段

> (应该先noping稍微扫一下c段再拿一台机器留后路在搞，这次做的有问题，不然流量检测设备检测到了，然后关站就直接寄了)  
> 一堆弱口令➕redis

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-840e3fdc04c3ed1c4652284184fcaabdbcd742f9.png)

### Neo-reGeorg使用

使用Neo-reGeorg正向隧道工具把流量代理出来：

> *Neo-reGeorg是常见的http正向隧道工具，是reGeorg的升级版，增加了内容加密、请求头定制、响应码定制等等一些特性*

```shell
python3 neoreg.py generate -k xxx --file 404.html --httpcode 404
```

生成一个webshell密码为xxx

> 比较有意思的是，工具新增的404模版功能，实战copy目标站点的404html，给到工具之后生成的webshell直接访问是404，对文件隐藏有很好的帮助

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-bfb777aaf8f93be70e79a5f61c3529d12d09779c.png)

上传至目标站点

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-9f4999759867fde5e77100db5ce99090ebb507ba.png)  
python3 neoreg.py -k xxx -u <http://xxxxx.com/404.php> -p 端口

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-0a1022a83a984c965b653b55a494dc07dd9c3fab.png)  
本地Proxifier配置代理：SOCKS5://127.0.0.1:1081

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-7280a81f536b83ee8a2d2547102b141035a4869a.png)  
刚访问了一个web站点看看通不通 加载了一个title  
都准备开始截图写报告了  
结果又不动了 我以为是代理的问题

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-4b7a51f5a929785d9ecbf08b420fd76f1a30c384.png)

结果发现目标站关了。。。。  
(感觉应该是昨天穿fscan的师傅打完内网交报告了然后企业直接关站了）  
陷入困境 看着这么多的弱口令却触摸不到 太可惜了

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-5eed4275e77f8b628022216f74a8671af8d172ff.png)

### 打点二

去找该企业子域和其他资产再找突破口  
找到了一个边缘资产的登录框  
注册功能接口被换成了弹窗  
![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-19eebd1430cfc1952390655830072161c7ba7c9b.png)  
试了着跑了一下注册功能字典 无果  
发现他们登录的url是**sys\_login.aspx**  
我们构造一个**sys\_register sys\_reg sys\_zc.aspx**去试试  
果不其然 可是。。。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-85673b2133c9dd8633e090ed2540935907bdf55d.png)  
但是这次翻F12看js文件就不一样了

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-75ac5fb3a746ab465490294f30cc9731beb1dfc0.png)  
构造请求成功注册了一个账号 并且发现了一个敏感参数

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-2342a4e66b4841125f6fca0b83dc9138402db819.png)  
role修改为1 成功注册一个管理员账户

.net的站管理员权限后台很容易找了个上传点配合图片免杀马就shell了

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-7c7d48486be939ec7437f23dc74b3a6070c1b837.png)

> 在爆破接口的时候，可以通过看目标站点的接口命名规则灵活变化精准爆破，注册用户在请求包或者返回包中可以多注意role,Permissions，power这种敏感的参数。

哥斯拉连接 发现这台机器居然是出网的！

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-4ab82da89f9d8f40e1b6ba46a65fee0cd6675ad3.png)

### 内网一

上传我的免杀马子 用哥斯拉的提权插件美美system上线～  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-1e9b31920015ccdd9855afe503b668a639334c5b.png)

用frp内网穿透

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-52df4638f9529184102dcedabe77bf825453665a.png)

美滋滋登弱口令截图写报告时，发现这台机器是10.8.xxxx 上台机器是10.9.xxxx 两个网段不通 做了隔离

> 这个时候我们的主要目标就是寻找双网卡主机

那就先上这台机器用fscan扫下吧

### 3389添加用户小技巧

因为是该机器是server2016 mimikatz抓不到明文密码，就只能添加用户 3389登录了

```php
net user test 123456 /add  
#添加用户名为test密码为123456的用户
net localgroup administrators test /add #把test用户提升至管理组
```

> 这里有三个小技巧
> 
> 1. net不能用时 可以用net1代替效果一样
> 2. /add也可以用/ad代替 执行效果一样
> 3. 使用$添加隐藏用户：net user test$ 123456 /add

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-164fc286cbb10fbd187d51122d97cc0000858a4d.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-ee19e5aeaabeebf7f40a1bec91f0937fef7926be.png)

传fscan扫了一下 发现这个网段机器偏少 弱口令也没几个  
现在的目标是找到双网卡主机！然后进入一堆弱口令的网段里，写报告写死我

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-ffc3f4ca581926aa47da04f0a29154db3351db78.png)

先登了这个网段扫到的弱口令机器，发现都是设备

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-342d18b118db8caf6ccaca112e98be2efa3bd1c2.png)  
只能继续找其他突破口了  
在这台机器翻了一波 发现了一个显眼的sa.txt文件

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-d140e979f88ba83d0c7638b11b72c04ac1765e85.png)

果不其然，里面放了一些密码，fscan再密码喷洒一波

### 拿下双网卡主机

弱口令ssh ifconfig 芜湖～ 双网卡主机

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-9b98e8d25e8629c7413b51643dc0e802e84e1b9d.png)

### frp多层网络代理

用frp搭个多层网络代理隧道  
大概就是这样  
hacker&gt;vps(服务器端)&gt;第一台内网机(客户端)(服务端)&gt;双网卡内网机(客户端)

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-17c69fbf5354f4e8c496c3118bdc3404047554e9.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-30b5d25942e8373a9d0a213909d01245f801b034.png)  
然后再用proxifier搭个代理链

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-7b6feb43c601ee1f98e83472066e23f508177d2e.png)  
我们就可以通10.9网段了，美滋滋的写报告的时候 被通知对方出局了～

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-341cbfb074ef42c914777247b033e0c7555f8a06.png)  
把手里的报告交了，因为慢了昨天传fscan的师傅一步，所以也没得多少分。

0x02 某某医院的内网之旅
--------------

### 打点三

打点很简单 某某医院的小程序 点点点点

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-97ade2fff823ee0cb1a6a9a6dda3aa3986d7d79b.png)

在burp插件里找到了惊喜

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-7b12ab08c37ca23aa9e9ad2fdb4b17220667f182.png)

shiro反序列化 工具梭哈

> hw面试常问的shiro反序列化的原理：
> 
> 序列化过程中所用到的AES加密的key是硬编码在源码中，当用户勾选RememberMe并登录成功，Shiro会将用户的cookie值序列化，AES加密，接着base64编码后存储在cookie的rememberMe字段中，服务端收到登录请求后，会对rememberMe的cookie值进行base64解码，接着进行AES解密，然后反序列化。由于AES加密是对称式加密（key既能加密数据也能解密数据），所以当攻击者知道了AES key后，就能够构造恶意的rememberMe cookie值从而触发反序列化漏洞

通俗的讲就是有了key就能构造恶意的payload服务器接受后会进行反序列化，从而达到了远程命令执行的效果。  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-ec25a9aeed96301a42738d9e8475c6e374e607e8.png)

又是一个内网～

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-373473e80d4a946a8d94a56b2156fc17060dc127.png)

### 100w加公民信息泄漏

在这台主机上找到了这种表格好几个

![图片.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-7951dd97d1aa48237a07bc1a7a819904905e9321.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-9ba9d5eef8f9804a4b94b522f0f94d58b1b54c4d.png)

加起来100w余公民的医疗数据身份证等敏感信息～

这台机器是2008 用mimikatz读密码 3389登录

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-528e4f9c04e7a7784d08ee5bdecded3ba577562a.png)

### 内网二

frp穿透进入内网 然后就是翻垃圾桶 翻数据库收集密码～

> > 收集密码的几种思路（尤其是个人使用的电脑，密码超多）  
> > 1.各种浏览器保存的密码，可以使用BrowserGhost.exe等工具  
> > 2.如果主机有navicat的话可以读取密码  
> > 3.翻回收站，桌面中的txt文档，还有一些配置文件。  
> > ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-8a4010f81123be70e135daadf959eaa098f7cfb1.png)

后面就是fscan+超级弱口令密码碰洒 就完了  
不得不说看着密码碰洒是真滴爽啊^^

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-e9928189a5a13f8c067d6d4d318c66372ebd25e0.png)  
因为fscan默认是不支持扫rdp弱口令的

> 一般是用fscan扫开放3389的机器，然后导出到超级弱口令等软件进行爆破，但是这样会由于fscan扫描不全漏掉一些机器，笔者建议最好上传nmap编译版或者一些专业扫描工具去探测。  
> 最后也是拿下几十台主机权限，内网沦陷～（可惜没有双网卡）

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-4944dbe1e7213f49b72655d23273baa2e9a07c4b.png)

内网渗透没有域的话，个人觉得就是慢慢磨，收集密码喷洒，再收集再喷 横向（免杀也很重要）～

0x03文末
------

感谢各位师傅们能看到这里，第一次正式作为红队打攻防演练，有某佬的带领下还是打的比较轻松的，也是拿到了优秀攻击队伍

> 从刚开始学习网安交的第一个弱口令漏洞到现在正好一年，愿我们都能以拿到第一台机器shell的热情继续学习下去，为网上家园筑起属于我们的安全堤坝！

发表于 2023-12-05 09:00:02
阅读 ( 8669 )
分类：内网渗透

4 条评论

Pseudoknot 2023-12-05 10:24

记一次省护两天拿下1.5w分(100w+信息泄露+找到双网卡主机—>内网沦陷)

china_sean 2023-12-12 16:30

沃嫩叠 2023-12-13 12:11

6666

用户700817805 2024-03-26 16:49

佬！！ nb6666