写点什么

从 Web 弱口令到的获取集权类设备权限的过程

用户头像
Machine Gun
关注
发布于: 2021 年 05 月 20 日
从Web弱口令到的获取集权类设备权限的过程

x01 web 弱口令获取 ssh 权限

对公网的端口进行扫描后,发现 443 端口是某厂商的 vpn 管理平台,通过默认账号密码:admin/xxxxx 进入平台,发现该平台可以连接内网中的机器,于是想着用该设备的 ssh 做一次代理,进入内网。(PS:一般情况下设备的 web 账号密码也是 ssh 的账号密码)。

telnet 22 端口,端口开放,但是 ssh 连接则又显示不可达,如下:


咨询了团队大佬,说是有 ACL 限制了。刚好设备里面可以修改 ACL,于是修改 ACL 允许我的 IP 进行连接。


里面有很多的 ACL 规则组,不知道该在哪个规则组里面添加,于是下载完整的配置文件:


在配置文件中看到,与 vty 相关的是 2001 这条 ACL 规则,配置如下:


所以将自己 IP 加到 2001 这个 ACL 规则库中。加了 ACL 规则以后,就可以连接了。


尝试用 pl ink 从 ssh 做转发进内网,但是安全设备不同于 linux,没法代理。


0x02 添加 vpn 进入内网

设置 L2TPVPN 服务端:


然后,连接 VPN,具体过程如下:




保存后,连接 VPN,会报如下错误:


win10 需要调一下才行,具体步骤如下:

进入“控制面板\网络和 Internet\网络连接”


找到刚添加的 vpn,右击属性,在“安全”选项中调整如下:


然后再连接,即可连接。


然后访问客户给的某个系统 10.0.2.1,无法访问,tracert 一下跟踪一下路由,看通不通。


无法访问,但是路由能通,不知道是什么情况。又跟大佬们沟通了一下,才知道是因为没有做源地址转换,于是添加 NAT 转换:

选择 Easy IP,不需要自己过多配置,关联的 ACL 选择新添加的名为 SSH 的 acl 规则。


选择 10.227.9.89 这个口子,依据是 tracert 的下一跳是 10.227.9.90。


然后还需要添加两个 ACL,一个是以移动出口上网的 ACL 为了测试过程中能查资料,另外一个是刚才与源地址转换关联的 ACL 规则,以便访问到内网系统进行攻击。

移动出口上网的 ACL 对应 2000,访问内网 ACL 对应 ssh,如下:



然后再访问内网系统,即可访问到了。


0x03 内网资产发现

以前内网发现都是用 timeoutsocket,而这次用 timeoutsocket 一个资产都没发现,包括已有的部分目标都没发现。后面使用 F-NAScan 扫到了很多存活主机。

主机里面应用类较少,设备比较多,弱口令也比较多,这里就不提了。主要说下集权类设备的发现。

内网共发现两台集权类设备,一个是某厂商的终端检测,如下:


尝试了常用口令,没进去。

第二个是另外某厂商的的终端检测系统,通过弱口令进了后台。


0x04 获取内网服务器权限

这个设备里面,支持执行命令,文件分发、查看用户等内容。所以有以下思路:

1、激活 guest 用户,设置密码,加入管理组

2、powershell+cs 上线

方案选定-进行尝试

由于内网机器不能出网,所以不考虑方案 2,显然方案 1 更成熟一点。

尝试激活 guest 用户,等一系列操作,如下:


命令执行以后,查看如下:


纹丝不动,无奈问了厂商的售后,才知道正确的执行方法如下:


然后编写 bat,通过文件分发,下发到目标上。bat 内容如下:

net user guest /active:yes && net localgroup administrators guest /add && net user guest qax@1234567qwert
复制代码



这里不能选择接收后执行选项。只有 exe 才行,但是会在服务器上提示,这都是后面才发现的。

选择系统根目录就是 c:。

然后命令执行,如下:


执行以后看用户,还是没变化…

调试阶段-突破拦截

没办法突破以后,就看了下首页还有啥没点过的

看到了客户端下载的地方,然后下载一个安装到虚拟机,执行加用户命令进行调试。


这才发现原来是杀软给拦了,难怪一直不成功。

因为后台可以直接通过按钮激活 guest 用户,就想激活以后克隆用户,然后发现,克隆用户的 exe 也报毒了

后来看资料,看到 net1,想试试 net1 能否加用户,如下:


可以激活用户,可以改密码,无法加入 administrators 组。

于是想到先用 mimikatz 读取密码到本地,然后重置 administrator 的密码,登录服务器后再改回来。

顺利登录服务器

找朋友要了一个 mimikatz,然后将 mimikatz 分发给目标,然后用 2.bat 读密码,2.bat 如下:

mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
复制代码

然后再用 3.bat 重置 administrator 密码,3.bat 如下:

net1 user administrator xxxxxx@1234abcdxxx
复制代码

之后登录服务器:


到 c:根目录下找到 log.txt,然后把 administrator 的密码改回原来的密码。

至此成功获取服务器权限

0x05 扩大战果之内网横向

使用读取到的密码在内网扫描,最终获取 10 几台服务器权限。



RDP 是用 7kb 的 RDP-Sniper 扫的,SSH 是用超级弱口令工具扫的。超级弱口令工具扫 RDP 的结果并不准确,只扫出了两个通用密码。而 RDP-Sniper 扫出了 10,效果还是很明显的。

0x05 技术总结

  1. 通过设备 web 弱口令登录后台

  2. 开启 VPN 添加 ACL 进入内网

  3. 通过弱口令登录集权设备后台

  4. 突破绕过杀软登录服务器

  5. 获取密码横向移动

  6. 获取更多服务器权限

用户头像

Machine Gun

关注

还未添加个人签名 2021.03.28 加入

需要获取网络安全/渗透测试学习资料工具的朋友可联系V:machinegunjoe666 免费索取

评论

发布
暂无评论
从Web弱口令到的获取集权类设备权限的过程