一個供應鏈突破案例

2023年4月7日#渗透测试679

AI 翻譯

這篇文章透過AI由簡體中文翻譯成繁體中文。查看原文

AI 生成的摘要

某次网络攻击行动中，通过企查查收集到了某单位的招投标信息。通过对该中标公司进行渗透测试，发现在其IP段内存在一个有漏洞的Confluence版本，并成功攻陷。系统为2008R2，X64，发现有360全家桶，权限为nt authority\network service。尝试绕过权限限制时遇到困难，无法绕过360的保护机制。考虑提升权限至3389。在翻目录时发现todesk，并利用其替换获得明文密码，但管理员已注销。发现存在guest用户，尝试使用1388提权，但guest似乎没有基础system的权限，尝试失败。尝试使用bypassUAC也失败，找不到白名单程序，猜测与guest有关。使用guest权限进行本地提权失败。最终发现该机器存在sqlps，在webshell中使用sqlps以network service权限上线到CS中。在CS中使用土豆模块成功提权，但权限处于不确定状态。尝试导出密码时提示不是管理员用户，但CS明确权限为system。查看CS会话时发现仍为原来的网络权限。使用进程注入重新注入一个system进程权限，然后使用mimikatz导出密码。获得密码后直接使用todesk登录该用户。内网部分收集了本机信息，并在项目开发进度文档中获得了直连该单位VPN的账

某護網行動，通過企查查收集到了該單位的招投標信息。

通過對該中標公司進行滲透測試，發現在其 IP 段裡面存在一個 Confluence，剛好有漏洞的版本，隨即拿下。
‍
系統為 2008R2，X64
發現有 360 全家桶，權限 nt authority\network service。

這個權限限制的比較死，試了一下 360 有點鐵，沒繞過去，當時有點抽風，執行 exe 直接無回顯了。
然後考慮提權上 3389 再說。
‍

0x02#

翻目錄的時候發現 todesk，利用 todesk 替換獲得明文密碼，連上去後發現管理員註銷了。

‍
不過當時發現存在 guest 用戶，登錄後考慮去提權，想的是使用 1388 去提權，但是好像 guest 沒有基礎 system 的權限，利用失敗了，IE 沒彈出來。

使用 bypassUAC 也失敗了，找不到白名單的程序，猜測應該還是和 guest 有關。
用 guest 權限去本地提權基本上全拉砸。
‍
最終發現該機器存在 sqlps，在 webshell 中使用 sqlps 執行命令以 network service 權限上線到 CS 中。

‍
在 CS 中用土豆提權成功，這個土豆模塊此處有一個坑，權限處於薛定諤狀態。

此處出現了一個狀況，就是去導密碼的時候提示我不是管理員用戶，CS 明確了權限為 system。

‍
查看 CS 會話的時候發現還是原來的網絡權限。

‍
後來使用進程注入重新注入了一個 system 的進程權限。

‍
然後使用 mimikatz 導出密碼。

‍
獲得密碼之後不做代理了，直接用 todesk 登錄該用戶。

‍
我宣布，我才是最後的贏家，辦法總比困難多。
‍
‍