记一次地级市攻防3W分
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
都是很基础的操作,没什么特别的手法,第一次记录,大家看看就行了,也没啥特殊手法,刚毕业的脚本小子第一次打这么高分,记录一下,最后有些问题,望大佬指教,指出错误之处。
1► 前言
组成部分
几家家近乎穿的单位(某传统企业,某科技企业,某国企)
一家敏感下属单位(超大型内网(最后一天只探了个活,太累了))
一家40w条某医疗单位数据泄露
杂七杂八的弱口令,后台
后期实在是刷不动了,太累了,义务劳动,也没啥钱。
信息收集->打点->弹完整shell(root/system)-> 上nps/Neo-reGeorg/erfrp代理 -> 刷内网
总体思路
struts_046f –> 向日葵右键退出杀软(绕杀软) –> 机器环境有问题 –> 刷本机分
2► 某医药公司
打点
正面突破 struts_046f 一把梭,哥斯拉直接上线webshell,java的环境大家都知道一般是最高权限。
终端对抗-谢谢运维哥
tasklist svc 一瞅,我尼玛,360和小红伞。运维哥别把,下次别装俩了,对电脑不好。
常规cs shellcode一扔寄,敏感操作寄,分离加载混淆寄,静态ok,动态一动无。
于是乎陷入沉思。。先吃个饭把,,,
后面翻着翻着文件,仔细看了进程,我擦,SunloginClient.exe 好东西,谢谢运维哥赏饭吃,直接读向日葵配置文件,连接!右键退出360,小红伞。
https://github.com/wafinfo/Sunflower_get_Password
具体用法看github
嘿嘿还得看我向日葵
直接上supershell进行后续操作
代理
都无杀软了,无脑nps带出socks5。遇到问题了我擦,无论啥exe放进这破机器,显示xxxx.dll、vs错误,我日。原来不是我cs没法上线,是他不能运行。看了2小时无果。尝试修复,寄。
刷分
那咋办嘞,只能刷下本机的分喽。
官方控制权限 xx分
Oracle 本机 xx分
sqlserver 本机 xx分
xx药管理系统 xx分
PostgreSQL xx分
骗分小能手yyds
3► 某敏感下属单位
总体思路
在野利用exp –> 386的机器 –> 绕edr –> 超大型内网(未深入)
打点
在野利用exp,某华的智慧xx管理系统
代理
直接上代理有些问题,由于是386的linux,kscan/fscan 修改版都通过go编译了一份386的版本。平常只备了x86_64。
edr
某x服edr,没杀supershell的go混淆,不带upx。上去看文件夹啥s****for我擦,以为要寄了,结果不干我打supershell那没办法了。按官网教程退出了。。密码是弱口令。。。但又好像不是,类似于P@ssw0rd这类,8位,大小写,特殊字符233。
内网
正常流程应该是咋样的?拿fscan扫ifconfig的C段?是这样么
直接kscan –spy 干172/192/10的A段,不要怂,就是干,就7天能咋办,你要无感知?底线程扫几天都不够哇
一扫!172、10、192加起来的网关存活有83个C段?????最后一天了,直接放弃,摆烂。结束,随便扫点fscan的交一下,入口点交一下。
4►
某国企
总体思路
在野exp –> 双网卡主机,直接俩内网–> H3C交换机 –> 突破隔离–> 刷内网
打点
冰蝎+supershell+nps
内网
nps开了之后也没啥杀毒软件,直接Proxifier代理上了。
密码喷洒战士,直接交换机拿下,打通vlan。
50多个个大华弱口令,牛2023居然还有不改大华密码的
10台FTP
1台mysql
1台永恒之蓝,不敢打,怕蓝屏
某安卓设备远程控制,其实就是adb+一款云端远程桌面软件。不得不说adb root很爽。康样子应该是个4.4.2的版本,而且极大可能性不是国内ROM。更类似于AOSP?那种
5► 某医疗单位
其他市ip,后台弱口令。。。就是医生记录用的系统。几十w条数据,居然不算重大成果233
主要还是信息收集,这类ip无论是hunter还是fofa,都是没有的,具体是拿下旁站sql从数据库里看到ip,试着干一下,很容易偏。
小技巧
脚本小子,初级红的一些,大佬勿笑。
其实也不算技巧,打点依然是老生常谈,nday/钓鱼/1day,基本也没啥方法了,望大佬指教
在终端对抗想法,现在大伙都追求免杀,我比较菜只能上一些白名单应用,如之前的长亭某管理vps工具,360云的团队管理工具,向日葵(UAC会不行),teamview,todesk,anydesk。都是一种方法,能达到目标就行。不一定要用CS这种C2阿,当然CS的dns,icmp上线,横向操作还是很棒的,对于一些国内c2工具,只考虑了http上线。可否思考一些其他手法上线,用一些少见协议。
对于fscan的缺点也很明显,端口–协议,这是一种很容易错过一些点的方式。但追求速度和准确性,fscan的快速打点也是非常不错的。在大型内网中fscan显然有些吃力。
webshell一定要正常http么,比如某技术的WebSocket也可以哇,一搜结果大神们很早时间就开始搞了。
隐匿:某技术的cdn+webstock+SSL+伪装流量是否也可以用于攻防,有效已经很不错了,值得一提,cf太慢了。自选ip又无法有效匿,至于腾讯云函数也有了反制手段,有授权考虑国内cdn。能不能访问也通过cdn–>vps –> cdn两层cdn+心跳延迟+某代理池。可以在另一台vps上心跳到另一台vps再到c2。心跳其实很重要。这些都是常规手段。
对于shiro这种需要跑key爆破可以信息搜集开始时一直挂后台run。
传统nc,powershell弹shell肯定是不太好用的,考虑supershell,vshell这类新型工具,在某些奇葩情况下可以考虑echo写入文件。
内网有时候大家都是看ifconfig,其实不然,在网络架构中通过vlan划分,一般情况可以看ifconfig,但其实主机可达还是需要探测,因为咱也不知道他网关可以到哪边。
在地级市中其实nday可行性还是非常大的,但往上就有点吃力了。挑软柿子捏,刷分。
6► 望佬解答
像一些比较难打的单位,手上也没啥day,逻辑也没挖到可以直接shell。除了钓鱼想不到其他的了,这时候该咋办。望佬解答
对于突破强隔离还有些不明白,目前只有遇到要么是内网中内网一台可以通其他网段,要么直接拿下交换机,把vlan打通。有没有啥其他方法,望佬解答。
有时候遇到准入机,双向加密机很无奈,遇到零信任没有账号很无奈。望佬解答
遇到过一台netservice权限的winserver2016,没有写入权限,只读当前目录,禁用大部分命令。实在不知道咋绕了,webshell根假的一样呜呜呜,望佬解答
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/9471.html