首页 > 其他分享 >记一次省护网红队案例

记一次省护网红队案例

时间:2023-12-14 14:35:37浏览次数:31  
标签:序列化 机器 密码 fscan 省护网 口令 案例 网段 红队

0x00前言

本来开学正忙于实现电竞梦(联盟高校联赛),某一天下午突然有位师傅联系我说可以免面试进组打省护红队,这么好的实战机会怎么能错过呢~(好好玩游戏,不要学我^^)

0x01 一个出局的企业单位内网之旅

打点一

故事的开始是某佬丢了一个系统nday shell给我

image.png

ipconfig发现有10段内网,这种网段内网一般都很大

image.png

但是这种nday已经被别人扫烂了 目录全是马

image.png

发现不对劲,这是什么?! 哪位不知名黑客昨天传的fscan

image.png

但是目标单位还没出局 先打再说
准备cs上线 但是发现不出网

image.png

先在哥斯拉传fcsan命令执行扫了一下b段

(应该先noping稍微扫一下c段再拿一台机器留后路在搞,这次做的有问题,不然流量检测设备检测到了,然后关站就直接寄了)
一堆弱口令➕redis

image.png

Neo-reGeorg使用

使用Neo-reGeorg正向隧道工具把流量代理出来:

Neo-reGeorg是常见的http正向隧道工具,是reGeorg的升级版,增加了内容加密、请求头定制、响应码定制等等一些特性

python3 neoreg.py generate -k xxx --file 404.html --httpcode 404

生成一个webshell密码为xxx

比较有意思的是,工具新增的404模版功能,实战copy目标站点的404html,给到工具之后生成的webshell直接访问是404,对文件隐藏有很好的帮助

图片.png

上传至目标站点

图片.png
python3 neoreg.py -k xxx -u http://xxxxx.com/404.php -p 端口

图片.png
本地Proxifier配置代理:SOCKS5://127.0.0.1:1081

图片.png
刚访问了一个web站点看看通不通 加载了一个title
都准备开始截图写报告了
结果又不动了 我以为是代理的问题

image.png

结果发现目标站关了。。。。
(感觉应该是昨天穿fscan的师傅打完内网交报告了然后企业直接关站了)
陷入困境 看着这么多的弱口令却触摸不到 太可惜了

打点二

去找该企业子域和其他资产再找突破口
找到了一个边缘资产的登录框
注册功能接口被换成了弹窗
图片.png
试了着跑了一下注册功能字典 无果
发现他们登录的url是sys_login.aspx
我们构造一个sys_register sys_reg sys_zc.aspx去试试
果不其然 可是。。。

图片.png
但是这次翻F12看js文件就不一样了

图片.png
构造请求成功注册了一个账号 并且发现了一个敏感参数

图片.png
role修改为1 成功注册一个管理员账户

.net的站管理员权限后台很容易找了个上传点配合图片免杀马就shell了

image.png

在爆破接口的时候,可以通过看目标站点的接口命名规则灵活变化精准爆破,注册用户在请求包或者返回包中可以多注意role,Permissions,power这种敏感的参数。

哥斯拉连接 发现这台机器居然是出网的!

image.png

内网一

上传我的免杀马子 用哥斯拉的提权插件美美system上线~
image.png

用frp内网穿透

image.png

美滋滋登弱口令截图写报告时,发现这台机器是10.8.xxxx 上台机器是10.9.xxxx 两个网段不通 做了隔离

这个时候我们的主要目标就是寻找双网卡主机

那就先上这台机器用fscan扫下吧

3389添加用户小技巧

因为是该机器是server2016 mimikatz抓不到明文密码,就只能添加用户 3389登录了

net user test 123456 /add  
#添加用户名为test密码为123456的用户
net localgroup administrators test /add #把test用户提升至管理组

这里有三个小技巧

  1. net不能用时 可以用net1代替效果一样
  2. /add也可以用/ad代替 执行效果一样
  3. 使用$添加隐藏用户:net user test$ 123456 /add

image.png

image.png

传fscan扫了一下 发现这个网段机器偏少 弱口令也没几个
现在的目标是找到双网卡主机!然后进入一堆弱口令的网段里,写报告写死我

先登了这个网段扫到的弱口令机器,发现都是设备

图片.png
只能继续找其他突破口了
在这台机器翻了一波 发现了一个显眼的sa.txt文件

image.png

果不其然,里面放了一些密码,fscan再密码喷洒一波

拿下双网卡主机

弱口令ssh ifconfig 芜湖~ 双网卡主机

image.png

frp多层网络代理

用frp搭个多层网络代理隧道
大概就是这样
hacker>vps(服务器端)>第一台内网机(客户端)(服务端)>双网卡内网机(客户端)

image.png

image.png
然后再用proxifier搭个代理链

image.png
我们就可以通10.9网段了,美滋滋的写报告的时候 被通知对方出局了~

image.png
把手里的报告交了,因为慢了昨天传fscan的师傅一步,所以也没得多少分。

0x02 某某医院的内网之旅

打点三

打点很简单 某某医院的小程序 点点点点

image.png

在burp插件里找到了惊喜

image.png

shiro反序列化 工具梭哈

hw面试常问的shiro反序列化的原理:

序列化过程中所用到的AES加密的key是硬编码在源码中,当用户勾选RememberMe并登录成功,Shiro会将用户的cookie值序列化,AES加密,接着base64编码后存储在cookie的rememberMe字段中,服务端收到登录请求后,会对rememberMe的cookie值进行base64解码,接着进行AES解密,然后反序列化。由于AES加密是对称式加密(key既能加密数据也能解密数据),所以当攻击者知道了AES key后,就能够构造恶意的rememberMe cookie值从而触发反序列化漏洞

通俗的讲就是有了key就能构造恶意的payload服务器接受后会进行反序列化,从而达到了远程命令执行的效果。
image.png

又是一个内网~

100w加公民信息泄漏

在这台主机上找到了这种表格好几个

图片.png

image.png

加起来100w余公民的医疗数据身份证等敏感信息~

这台机器是2008 用mimikatz读密码 3389登录

image.png

内网二

frp穿透进入内网 然后就是翻垃圾桶 翻数据库收集密码~

收集密码的几种思路(尤其是个人使用的电脑,密码超多)
1.各种浏览器保存的密码,可以使用BrowserGhost.exe等工具
2.如果主机有navicat的话可以读取密码
3.翻回收站,桌面中的txt文档,还有一些配置文件。
image.png

后面就是fscan+超级弱口令密码碰洒 就完了
不得不说看着密码碰洒是真滴爽啊^^

image.png
因为fscan默认是不支持扫rdp弱口令的

一般是用fscan扫开放3389的机器,然后导出到超级弱口令等软件进行爆破,但是这样会由于fscan扫描不全漏掉一些机器,笔者建议最好上传nmap编译版或者一些专业扫描工具去探测。
最后也是拿下几十台主机权限,内网沦陷~(可惜没有双网卡)

image.png

内网渗透没有域的话,个人觉得就是慢慢磨,收集密码喷洒,再收集再喷 横向(免杀也很重要)~

0x03文末

感谢各位师傅们能看到这里,第一次正式作为红队打攻防演练,有某佬的带领下还是打的比较轻松的,也是拿到了优秀攻击队伍

 

转自于原文链接:https://forum.butian.net/share/2528

标签:序列化,机器,密码,fscan,省护网,口令,案例,网段,红队
From: https://www.cnblogs.com/backlion/p/17901091.html

相关文章

  • 云主机秘钥(ak/sk)泄露及利用案例
    前言云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内......
  • Pivotal应用案例之12306.cn的技术革命
     “通过技术改造解决了困扰我们多时的尖峰高流量并发问题,让全国人民不再因为技术原因而抱怨,我们终于舒了一口气。PivotalGemFire分布式集群内存数据技术对整个技术改造发挥了关键的作用。同时,感谢Pivotal公司及其实施方项目团队的努力,在技术开改造过程中确保旧系统顺畅运行、旧......
  • 软件需求与分析课堂测试十——综合案例分析
    软件需求与分析课堂测试十——综合案例分析 根据下列案例需求描述,回答相关问题:有一个对外营业的会议中心,有各种不同规格的会议室,为用户提供以下服务:1、用户可以按照会议人数、会议时间预订会议室。可以只预订1次,也可预订定期召开的会议。2、开会前允许用户修改会议时间、......
  • 软件需求与分析课堂测试十——综合案例分析(5分)
    根据下列案例需求描述,回答相关问题:有一个对外营业的会议中心,有各种不同规格的会议室,为用户提供以下服务:1、用户可以按照会议人数、会议时间预订会议室。可以只预订1次,也可预订定期召开的会议。2、开会前允许用户修改会议时间、人数,重新选择会议室,甚至取消预订的会议。3、......
  • 软件案例开发课堂测试——
    软件需求与分析课堂测试十——综合案例分析(5分)  根据下列案例需求描述,回答相关问题:有一个对外营业的会议中心,有各种不同规格的会议室,为用户提供以下服务:1、用户可以按照会议人数、会议时间预订会议室。可以只预订1次,也可预订定期召开的会议。2、开会前允许用户修改会议......
  • 微信小程序抓包及测试案例
    网上大多数的小程序测试抓包都是用的安卓模拟器,这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式环境准备Burp2023.9.2Proxifier4.5Proxifier是一款功能非常强大的socks5客户端,可以让不支持通过代理服务器,工作的网络程序能通过HTTPS或socks或代理链。其是收费软件,免费试......
  • 软件需求与分析课堂测试十——综合案例分析(5分)
    软件需求与分析课堂测试十——综合案例分析(5分) 根据下列案例需求描述,回答相关问题:有一个对外营业的会议中心,有各种不同规格的会议室,为用户提供以下服务:1、用户可以按照会议人数、会议时间预订会议室。可以只预订1次,也可预订定期召开的会议。2、开会前允许用户修改会议时......
  • 服务器数据恢复-raid5多块磁盘掉线导致上层卷无法挂载,oracle数据库不可用的数据恢复案
    服务器数据恢复环境:一台服务器中有一组由24块FC硬盘组建的raid5磁盘阵列,linux操作系统+ext3文件系统,服务器上层部署有oracle数据库。服务器故障&检测:raid5阵列中有两块硬盘出现故障掉线,导致服务器上层卷无法挂载,oracle数据库无法正常使用。通过管理后台查看服务器中硬盘的状态,......
  • R语言贝叶斯Metropolis-Hastings采样 MCMC算法理解和应用可视化案例
    全文链接:https://tecdat.cn/?p=34543原文出处:拓端数据部落公众号贝叶斯MCMC模拟是一个丰富的领域,涵盖了各种算法,共同目标是近似后验模型。例如,使用的rstan包采用了一个HamiltonianMonteCarlo算法。用于贝叶斯建模的另一个rjags包采用了Gibbssampling算法。尽管细节有所不同,但......
  • bootstraptable 全事件 触发事件 表格事件及fastadmin 的使用方法案例
     Option事件jQuery事件参数描述onAllall.bs.tablename,args所有的事件都会触发该事件,参数包括:name:事件名,args:事件的参数。onClickRowclick-row.bs.tablerow,$element当用户点击某一行的时候触发,参数包括:row:点击行的数据,$element:tr元素,field:点击列的field......