0X01 攻击链路图#
图做的比较密,单独截出几份用于说明选择和目标的方向。
关于供应商的收集
关于供应商的打击链。
关于此次供应商目标的选择。
0x02 入口#
入口很简单,一个 Confluence 的漏洞,直接写入内存马。
系统存在 360 全家桶
系统是 2008 , 选择直接导出这台机器的 hash。
- Username : Administrator
- Domain : WIN-69U1J6S1795
- Password : HNG7%i&RU
0x03 内网#
刚开始 3389 连不上,扫描扫过去看到 3389 没开。
感觉就是改了端口,去查了一下还真是改了。
tasklist /svc | findstr TermService //先查询出端口
netstat -ano | findstr 2956 //再查此PID对应的服务
发现端口是 53388,成功连接。
IP 是 192.168.1.188。
内网扫描出了一些 web 资产。
] WebTitle:http://192.168.43.1:8080/login.action?os_destination=%2Findex.action&permissionViolation=true code:200 len:29508 title:登录 - 技术中心文档管理系统
[*] WebTitle:http://192.168.1.201:8080/login.action?os_destination=%2Findex.action&permissionViolation=true code:200 len:29508 title:登录 - 技术中心文档管理系统
[*] WebTitle:http://192.168.150.1:8080/login.action?os_destination=%2Findex.action&permissionViolation=true code:200 len:29508 title:登录 - 技术中心文档管理系统
不过这几个内网的 web 都没啥价值,都在 VM 的网卡段。
到这里我想的是去用密码碰撞一个内网其他的机器,直接使用 fscan 去爆破 RDP。
fscan.exe -m rdp -p 3389 -h 192.168.30.1/24 -user administrator -pwd test123 -o res.txt
但是问题之一来了,内网的 3389 全改了,无法找到正确的 3389 端口也就不能爆破。
考虑尝试了 SMB 看看能不能写,结果不如人意,SMB 也无法利用。
SMB 过去之后发现连不上,因为对方开了默认公用共享,即便是密码为空也可以连接。
看了一下管理员是从哪台机器上登过来的。
管理员来路 IP 获取:
wevtutil qe security /format:text /q:"Event[System[(EventID=4624)] and EventData[Data[@Name='TargetUserName']='administrator']]"|find "源网络"
根据查出来的连过来这台机器的 IP 发现访问不通了。
那么问题来了,现在的情况貌似无法横向出去了,没有任何可用于突破的资产。
之前考虑到本机的 RDP 端口在 5W 以上,利用 kscan 扫描内网的 5W 端口获得了其他几台的机器 RDP 端口
不过很遗憾的是利用之前的密码,这几台机器的 RDP 都没连上去,至此,环境陷入僵局。
0x04 思考#
已做的事情有:
- 翻阅本机文件、RDP、回收站,确认没有可以利用的文件,RDP 不保存密码,已有的密码碰撞失败。
- 内网 RDP 端口全改,碰撞 RDP 较为困难(已解决,利用 kscan 的指纹识别成功获得 RDP 端口)。
- 管理员来路已经定位,管理员 PC 机打不过去。
- 内网没有第三方可打的服务了。
0x05 柳暗花明#
这个环境就卡着了,当时没啥办法就放闲置了。
后来根据防守队噩梦的提醒,去扫了内网 IP 段的 40000 以上的端口。
原因是,向日葵在启动后会在 40000 以上随机开放一个 web 端口,认证有问题可以直接通过 cgi-bin/rpc?action=verify-haras 获取 cid 执行回显 rce。
通过部分机器上的向日葵漏洞成功横向出去。
假装有图.jpg
0x06 总结#
这是一个值得思考的案例,有的时候真要仔细思考一下内网中还有那些服务能打的,有时候利用第三方服务往往有意想不到的效果。