【滲透實戰】記一次艱難的內網漫遊之旅_我居然拿下了全校的主機設備！

/禁止轉載 原作者
Kali_MG1937
CSDN博客號:ALDYS4
QQ3496925334/

第二期:【滲透實戰】記一次艱難的內網漫遊第二期_我是如何讓管理員乖乖交出監控權限的

對這幾周的滲透成果進行總結

爲了這次的滲透攻擊能夠成功
我做了近兩週的準備

第一步：信息收集

1.在籌劃期間我做了很多種方案但最後還是打算先滲透機房電腦比較直接
2.可是沒機會給電腦上裝payload

但是機房內的學生用機是安裝有教學控制軟件的,或許我可以對其進行利用

第二步：滲透機房

教學控制軟件有一個功能,就是上傳作業,很幸運的是教師機和學生機一樣,全部使用windows默認設置:不顯示已知文件的後綴
提交作業時的標準是提交doc或xls文件,對msf的載荷名進行修改
例如:“作業.doc.exe”

提交完成,快到下課時,meterpreter收到了反彈的shell
教師機權限到手
做好權限維持,以備在其他地方能夠訪問傀儡機

第三步：查看教師硬盤

瀏覽了一陣老師的電腦，發現了一些關於學校服務器的報告
其中包含了服務器地址
服務器地址:10.11.26.65

第四步：滲透學校服務器

看了下服務器地址
的確是辦公樓的地址段
nmap粗略掃描後發現80端口開啓

打開網頁
試試看有沒有注入漏洞
username=‘or’1’='1
password=‘or’1’=‘1
發送post後服務器的確發生了302跳轉
可最後看到的不是完整的學生信息，而是500錯誤
sqlmap掃描後也判斷並沒有注入點
我返回去查看教師電腦上服務器文件的介紹
上面規定每個用戶名的默認密碼是123
username=用戶名’and’1’='1
password=123
發送post請求，成功登入
再帶入sqlmap掃描，dump出注入點
拿到dba權限！

上傳shell

通過dump出的服務器信息猜測
服務器一定是Windows XP sp1-2左右的版本
那麼果斷用nmap掃描445端口
發現ms17010漏洞！

第五步：滲透交換機與路由器

辦公樓的地址段是10.11.*.*
查看被滲透服務器的ip信息，發現網關是10.11.254.254
打開http://10.11.254.254
是H3C交換機
很幸運的是賬號密碼都是默認的
admin
admin
這個弱口令沒什麼好講的，純屬是學校的安全沒做好
重要的是路由器
通過nmap掃描10.11.254.254以及其地址段下的ip
發現請求無一例外都跳向了192.168.11.1
nmap掃描192.168.11.1，發現根本沒有結果
1000 port all down
但奇怪的是nmap在掃描這個ip時總跳出一個提示：
Do the 443 port really open?
接着第二次掃描時就再也沒有結果，在停止掃描十幾分鍾後才能再次ping通地址
直覺告訴我這是學校的防火牆攔截了nmap掃描
因爲可能開着443端口
先打開https://192.168.11.1

上網查找銳捷路由器的弱口令
admin
回車！
登入失敗！
可惜不是弱口令，那麼用burpsuite抓個包看看有沒有漏洞
發現有個command參數：sh clock
上網查找了銳捷路由器的資料後發現這是用來測試用戶是否有路由器權限的
如果賬號密碼錯誤，response則是401 Unauthorized
繼續查找資料，發現show version這個命令是不用權限就能執行的
你懂得，改sh clock爲show version，發送post

成功爆出服務器信息，並且返回值爲302而不是401！
成功進入路由器後臺
查看路由器配置

發現Telnet密碼爲qz123456
當然qz是我們學校的縮寫啦
關閉路由器防dos措施和arp欺騙過濾
再次使用nmap掃描
發現了心臟出血漏洞
css注入漏洞
apache畸形請求導致反射攻擊的漏洞也出來了

我甚至還利用openssl漏洞dump到了內部js文件

不過拿到權限後就沒什麼用了

第六步：繼續挖掘_滲透學校防火牆

只獲得這麼一點點小成就的我怎麼可能滿足！

回頭查看nmap掃描結果時發現請求再次被不斷髮送到了192.168.100.253
根據之前的經驗，
192.168.100.253一定做了防護措施
先不進行nmap掃描，避免打草驚蛇
直接打開https://192.168.100.253
果不其然！！

是SANGFOR防火牆！
而且還是2016年的版本！我企圖用之前滲透路由器的蠢辦法繞過驗證，可惜不行
嘗試sql注入 仍然不行！
總之就是用盡了各種方法都無濟於事

然後我就放棄了當天的滲透測試

回宿舍睡覺時翻來覆去就是睡不着

果然不拿到權限就是心癢癢！！

如果滲透不成，就猜密碼！
剛要睡着，發現之前滲透路由器的時候
看到Telnet的密碼是qz123456
第二天中午時我打開電腦，嘗試輸入這個密碼
回車！

登入成功！
發現我之前的掃描記錄和system攻擊全部被記錄在防火牆裏了！
把攻擊記錄全部刪光，把所有的安全策略全部禁用
並且允許445端口開放

第七步：進一步挖掘_拿到302臺主機shell

按照學校安排服務器地址的尿性
應該有其他類似防火牆的主機
我嘗試了https://192.168.100.252
結果真的打開了，是行爲控制模塊
密碼仍然是qz123456
學校用了同一個密碼。。

按照這個規律
那麼之前發現的H3C交換器地址是10.11.254.254
猜測應該會有服務器在10.11.254.254之前
ping 10.11.254.253
超時
ping 10.11.253.253
ping通了！
嘗試打開https://10.11.253.253

是和信虛擬終端控制系統
首先嚐試弱口令admin，不行！
嘗試了qz123456這個密碼，不行！
試着改response繞過驗證，也不行！（如圖）
百般無奈之際，手欠的我不小心多寫了一個單引號’
回車！
報錯！
我的直覺告訴我有sql注入點！
username=admin’or’1’=‘1’and’1’=‘1’or’1’='1
利用or語句的優先級繞過password的判斷

成功登入！
一看，乖乖，這個vesystem系統掌管着302臺主機！

而且可以查看每臺機子的詳細信息，甚至可以監控畫面，上傳文件！

第八步：挖掘和信系統的注入漏洞

在不斷測試的過程中，我發現和信系統在修改服務器信息時存在sql注射漏洞
strName=1
回車，成功修改
strName=1’
修改失敗，無疑是因爲單引號引起的閉合錯誤
strName=1’and’1’='1
修改成功！
教科書式的注入漏洞

果斷丟sqlmap裏，並帶上–no-cast參數，因爲我通過注入發現某些表是16進制的格式

爆出數據，查看password列
qz1234567
比之前的密碼多了個7
我tm。。。

第九步：挖掘傀儡機信息

因爲在之前的滲透中關閉了防火牆，禁用所有對smb之類的安全策略
拿到了和信服務器
滲透過程更加輕鬆了
nmap掃描在和信系統裏發現的終端

我的天！這是挖到金礦了嗎？！
我找到我們班主任的電腦
ms17010
boom！

在看電視劇。。。
不管了，先查看硬盤
發現一份關於心理健康查詢的網站
一看
內網10.10.10.10
我還尋思着着不就是上次被我繞waf給xss注入了的網站麼。。
因爲沒什麼利用價值所以這裏就不講了
重點是這個地址的8090端口才是進行心理健康查詢的

這個網站進行了一些過濾
經過測試
過濾了%#&"/等等字符串
且對大小寫敏感
所以payload：
username=admin’AnD '1’Like '1

然而挖出的內容都是一些關於心理健康測試的題目和考試規範之類的

第十步：其他設備發現

這部分就可以略講了
比如教師在登入某些設備時cookie被我抓到

接着順藤摸瓜把學校廣播站日了
弱口令，沒什麼好講的

以後可以用廣播隨便放歌了耶

記錄滲透成果

加上教學樓傀儡機和辦公樓的主機
算了一下，拿了472機子的權限

好了不說了,該提交報告給老師了