从 Web 弱口令到的获取集权类设备权限的过程
x01 web 弱口令获取 ssh 权限
对公网的端口进行扫描后,发现 443 端口是某厂商的 vpn 管理平台,通过默认账号密码:admin/xxxxx 进入平台,发现该平台可以连接内网中的机器,于是想着用该设备的 ssh 做一次代理,进入内网。(PS:一般情况下设备的 web 账号密码也是 ssh 的账号密码)。
telnet 22 端口,端口开放,但是 ssh 连接则又显示不可达,如下:
咨询了团队大佬,说是有 ACL 限制了。刚好设备里面可以修改 ACL,于是修改 ACL 允许我的 IP 进行连接。
里面有很多的 ACL 规则组,不知道该在哪个规则组里面添加,于是下载完整的配置文件:
在配置文件中看到,与 vty 相关的是 2001 这条 ACL 规则,配置如下:
所以将自己 IP 加到 2001 这个 ACL 规则库中。加了 ACL 规则以后,就可以连接了。
尝试用 pl ink 从 ssh 做转发进内网,但是安全设备不同于 linux,没法代理。
0x02 添加 vpn 进入内网
设置 L2TPVPN 服务端:
然后,连接 VPN,具体过程如下:
保存后,连接 VPN,会报如下错误:
win10 需要调一下才行,具体步骤如下:
进入“控制面板\网络和 Internet\网络连接”
找到刚添加的 vpn,右击属性,在“安全”选项中调整如下:
然后再连接,即可连接。
然后访问客户给的某个系统 10.0.2.1,无法访问,tracert 一下跟踪一下路由,看通不通。
无法访问,但是路由能通,不知道是什么情况。又跟大佬们沟通了一下,才知道是因为没有做源地址转换,于是添加 NAT 转换:
选择 Easy IP,不需要自己过多配置,关联的 ACL 选择新添加的名为 SSH 的 acl 规则。
选择 10.227.9.89 这个口子,依据是 tracert 的下一跳是 10.227.9.90。
然后还需要添加两个 ACL,一个是以移动出口上网的 ACL 为了测试过程中能查资料,另外一个是刚才与源地址转换关联的 ACL 规则,以便访问到内网系统进行攻击。
移动出口上网的 ACL 对应 2000,访问内网 ACL 对应 ssh,如下:
然后再访问内网系统,即可访问到了。
0x03 内网资产发现
以前内网发现都是用 timeoutsocket,而这次用 timeoutsocket 一个资产都没发现,包括已有的部分目标都没发现。后面使用 F-NAScan 扫到了很多存活主机。
主机里面应用类较少,设备比较多,弱口令也比较多,这里就不提了。主要说下集权类设备的发现。
内网共发现两台集权类设备,一个是某厂商的终端检测,如下:
尝试了常用口令,没进去。
第二个是另外某厂商的的终端检测系统,通过弱口令进了后台。
0x04 获取内网服务器权限
这个设备里面,支持执行命令,文件分发、查看用户等内容。所以有以下思路:
1、激活 guest 用户,设置密码,加入管理组
2、powershell+cs 上线
方案选定-进行尝试
由于内网机器不能出网,所以不考虑方案 2,显然方案 1 更成熟一点。
尝试激活 guest 用户,等一系列操作,如下:
命令执行以后,查看如下:
纹丝不动,无奈问了厂商的售后,才知道正确的执行方法如下:
然后编写 bat,通过文件分发,下发到目标上。bat 内容如下:
这里不能选择接收后执行选项。只有 exe 才行,但是会在服务器上提示,这都是后面才发现的。
选择系统根目录就是 c:。
然后命令执行,如下:
执行以后看用户,还是没变化…
调试阶段-突破拦截
没办法突破以后,就看了下首页还有啥没点过的
看到了客户端下载的地方,然后下载一个安装到虚拟机,执行加用户命令进行调试。
这才发现原来是杀软给拦了,难怪一直不成功。
因为后台可以直接通过按钮激活 guest 用户,就想激活以后克隆用户,然后发现,克隆用户的 exe 也报毒了
后来看资料,看到 net1,想试试 net1 能否加用户,如下:
可以激活用户,可以改密码,无法加入 administrators 组。
于是想到先用 mimikatz 读取密码到本地,然后重置 administrator 的密码,登录服务器后再改回来。
顺利登录服务器
找朋友要了一个 mimikatz,然后将 mimikatz 分发给目标,然后用 2.bat 读密码,2.bat 如下:
然后再用 3.bat 重置 administrator 密码,3.bat 如下:
之后登录服务器:
到 c:根目录下找到 log.txt,然后把 administrator 的密码改回原来的密码。
至此成功获取服务器权限
0x05 扩大战果之内网横向
使用读取到的密码在内网扫描,最终获取 10 几台服务器权限。
RDP 是用 7kb 的 RDP-Sniper 扫的,SSH 是用超级弱口令工具扫的。超级弱口令工具扫 RDP 的结果并不准确,只扫出了两个通用密码。而 RDP-Sniper 扫出了 10,效果还是很明显的。
0x05 技术总结
通过设备 web 弱口令登录后台
开启 VPN 添加 ACL 进入内网
通过弱口令登录集权设备后台
突破绕过杀软登录服务器
获取密码横向移动
获取更多服务器权限
评论