公司内网渗透实战:从弱口令打到生产环境

2022-12-16 13,529
原创作者:kyrieew, 转载自FreeBuf.COM

最近领导让测试如果有人拿到权限进来内网之后能否危害到公司客户的生产环境,于是开始了这次的内网渗透,成果显著,一共拿到了35台服务器的root权限和16个数据库,其他漏洞不再赘述,主要详细写如何通过一个弱口令一路打到生产环境全流程。

一.突破点:jenkins的admin弱口令+远程命令执行

一开始对自己机器所在的200网段一顿猛扫,发现了不少平台和管理后台,但是都没有密码,于是每个平台都尝试使用弱口令撞运气,拿到了不少平台的弱口令进入了后台,但是都没有危害,直到发现6网段有台机器在8081端口开放了jenkins可以admin弱口令进入后台后,一顿翻发现存在一个可以执行命令的地方

当时内心一顿狂喜,看来马上就要拿下了,一执行发现居然还是root权限,这不是稳了?

关闭防火墙后,直接bash反弹,等半天没反应,这机器也不出网vps也弹不回来,不知道为啥,上网搜了一下发现有人也遇到过这种情况,解决方法就是上传python反弹脚本执行反弹,于是在4444端口开了一个python服务器,然后上传了文件,一顿操作猛如虎,看着毫无波动的命令行界面前我那张死寂的脸,我沉默了。

既然shell弹不回来,于是换个思路,目标机器有java环境,所以可以尝试上传jsp马再用冰蝎连接,再注入个内存马春梦了无痕岂不是美滋滋?又是一顿操作,放到/var/www/html/里面后我又沉默了,这网站咋没目录?于是找了一下午jenkins网站目录结构,都没搞懂目录放在哪里,于是去翻jetty+jenkins的搭建全流程,才知道人家是部署war包直接解析的....

没事,愈挫愈勇,我开始尝试去写入自己的公钥进该机器,这次很流畅,很丝滑,很快啊,直接一手xshell连接目标22端口

重启了一波sshd服务还是连接不上,这不对啊?打靶机的时候很丝滑很流畅啊,怎么一实战这么多问题,于是又搜了一下午为什么22端口连接不上的问题,一直以为是ssh服务的问题,于是到处搜资料一直折腾,一直没有进展,当时周五下班大家都开开心心的准备回家吃饭,我一个人在工位上面如死灰,于是长叹了口气,准备物理拿下公司这台服务器的管理员

就在我准备作案工具的时候并且准备详细的计划时,突然想到,有没有可能是因为人家ssh开放的端口不在22上?查看端口果然没有看到22端口,于是去查看配置文件,原来老六管理员把端口开到10022端口了!

然后一波ssh私钥连接,总算是拿下了6网段这台机器的root权限

到这里就完成了最为关键的一步,但是拿到这台机器后对管理员历史命令和文件到处翻,把机器基本翻了一遍,也没有相关的有用信息可以进行下一步突破的,到这里又陷入困境了,怎么才能打到生产环境呢?我拿下的这台机器我也不知道和哪些生产网段互通,扫描工具扫bc段没有更有用的信息,终于,翻了半天,在一个配置文件下得到了公司在郑州的生产环境的密码,但是测试该机器并不与该网段互通

但是这是唯一拿到的可能有效信息和突破点,这个密码肯定是有用的,但是我一时也不知道拿来干嘛了,当时到这就以为本次渗透到此为止了,但是那天晚上三点失眠了,翻来覆去睡不着,在又一次的翻身过程中,我突然灵光乍现,有没有可能,有没有可能这串密码和公司在本地城市的密码是一致的,只是最后两个字符不一样,但是是以城市规律为命名的?比如上图中郑州的缩写ZZ?想着想着就睡着了,等我周六中午十二点睡醒的时候,我已经不记得这回事了,很好,本次渗透到此结束了。

就在我下午顶着一头鸟毛准备去补做核酸来挽救我的黄码的时候,我总算想起来了,昨天晚上猜的还没试呢,做完核酸回来,拿着猜测的账号密码就是一顿猛日,试了很多个平台找到了一个可以横向突破的点。

二.拿下云计算平台后进行横向渗透

在拿密码成功登录后,发现该云计算平台包含了27网段的一系列机器,在拿之前猜的密码X登录拿下了前面几台

但是这几台都没什么有效信息,但是这时候发现在一台机器的描述中存在一串字符串,我猜测很有可能是后面几台比较关键机器的密码

于是对后面几台带有该管理员密码的27网段的主机都进行了登录尝试,最后拿到了最为关键的列表排位最后一台的27.150这台机器,在拿到root目录下的数据库命令和历史操作命令后,得到了几个很复杂的密码,但是暂时不知道有什么用,发现该机器曾经连接过一台6网段的机器,用老密码成功拿下了该机器,老操作继续翻目录和数据库,发现其登陆过一些生产环境的机器配合数据库内资产的ip地址,拿之前的密码做了一个密码本,进行了大量的登录尝试,最后拿下了上海的生产环境的机器,以及河北等地的防火墙,到这里就算是成功打到生产环境了

三.进一步的横向渗透

于是用扫描器对两个网段以及生产环境进行了一系列的扫描来收集信息,发现老密码惊人的好用,拿下了6和27网段的一系列机器,由于6网段是公司与生产环境互通的网段,于是还拿到了一些各地的交换机防火墙未授权的数据库等等,拿到了大量的敏感数据,包括一些其他B段的一些机器,密码喷洒的效果十分的显著,本次的渗透到这里基本就算结束了,最后输出了报告。

四.总结

在拿shell这件事情上,真实的环境往往会出各种问题,所以在打点的时候需要耐心,考虑各种各样的情况,而对于后渗透,如何做好信息收集极为关键,只有做好大量的信息收集,进行思维的灵活发散,才能更好的进行后渗透,到这里长舒一口气,总算是给领导有个交代了,最后得出一个结论:


本文作者:hackctf

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/193736.html

Tags:
评论  (0)
快来写下你的想法吧!

hackctf

文章数:40 积分: 80

微信公众号:hackctf

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号