记一次实战学校内网渗透


前言

上次记录过一篇提权到内网初探,但感觉收尾有些仓促,最近刚好遇到了很好的实战过程,故本篇为过程记录复现,着重围绕着目标进行测试。希望看完本篇能给您带来一些思路或启发。

假设本次测试前提为:仅知道刘书源为某学校的学生,目的是尽可能的收集刘书源的信息,以此进行展开。

PS:截至投稿前,已将漏洞提交eduSRC平台并验证已完成修复。

记一次实战学校内网渗透_第1张图片

内网资产嗅探

首先通过谷歌语法搜索该学校的学号。这是个众人皆知的小技巧,通过收集的学号,可以生成学号字典去爆破弱口令用户。如下获得了该校的学号格式。

记一次实战学校内网渗透_第2张图片

通过以下公告通知,获取到默认的密码为身份证号的某段构成,故此处获得了学号之后,可以考虑如何获取学号对应的身份证号码。

记一次实战学校内网渗透_第3张图片

弱口令爆破

通过上述获取到的学号生成字典,找到一处无验证码的学生系统进行爆破。

记一次实战学校内网渗透_第4张图片

记一次实战学校内网渗透_第5张图片

记一次实战学校内网渗透_第6张图片

如上成功爆破出尾数50的学号存在弱口令,通过弱口令可以登录该系统,登录后可以获取到该学生的身份证号码。此时,我们掌握了一个学号、姓名及身份证号,如果时间足够可以多去爆破几个。

但此时并不知道刘书源的学号,若能得到刘书源的学号应能获取更多的信息。

通过对该学校网站继续浏览,发现网站存在VPN系统,此处为突破口。

内网资产嗅探

通过上述获取到的学号+身份证后6位成功登录VPN系统,若登录不成功,则可以多爆破几个学号,尝试通过他们的身份证号进行登录,总有学生没有改默认密码的。

记一次实战学校内网渗透_第7张图片

记一次实战学校内网渗透_第8张图片

如上成功登录VPN系统,进入学校内网。通过对内网的资产进行了大概的浏览及信息收集,发现存在以下IP段:

192.168.25x.0

192.168.4.0

192.168.5.0

扫描该网段开放WEB服务的服务器,同时后台扫描SQLServer及MySQL的弱口令。如下,内网还是存在很多的网站服务器。

记一次实战学校内网渗透_第9张图片

通过对几个网段的Web系统的逐个浏览测试,发现主要存在以下漏洞:

1、在线考试管理系统存在SQL注入

此系统最有可能存在刘书源的学号信息,故对此系统进行检测。

记一次实战学校内网渗透_第10张图片

抓包使用Sqlmap进行测试,一片红证明存在安全防护软件。

记一次实战学校内网渗透_第11张图片

记一次实战学校内网渗透_第12张图片

记一次实战学校内网渗透_第13张图片

2、资产管理系统存在SQL注入

用户名处加单引号报错

记一次实战学校内网渗透_第14张图片

记一次实战学校内网渗透_第15张图片

抓包使用Sqlmap进行测试

记一次实战学校内网渗透_第16张图片

记一次实战学校内网渗透_第17张图片

同样抓包使用Sqlmap进行测试,但此处未被拦截。

分析后发现该站点和上面站点不是一个网段,考试管理系统的是192.168.25x.0网段,而当前系统是192.168.4.0网段,可能是WAF的部署位置缺陷导致未防护到192.168.4.0网段。推测其大概网络拓扑图如下:

记一次实战学校内网渗透_第18张图片

虽然当前注入点为SA权限,但不支持os-shell,也未找到后台管理页面,且该系统很大可能不存在我们需要的信息。此处暂且先放一边。

3、后台弱口令

发现一系统后台弱口令,成功登录后,并未有可以利用的功能点,且该站点有WAF进行防护。

记一次实战学校内网渗透_第19张图片

此时服务扫描那一块已经扫描完成,扫到存在sa弱口令的服务。

4SA弱口令

如下,发现两台存在弱口令的服务器,且为192.168.25x.0网段。可以通过获取该服务器权限建立代理,然后去跑同网段考试系统的注入点,即可绕过WAF的防护,进而可获取数据库的信息。

记一次实战学校内网渗透_第20张图片

通过SQL工具连接后可以执行cmd,且当前权限为system权限。

记一次实战学校内网渗透_第21张图片

通过以下命令查找RDP服务的端口号

tasklist/svc | find "TermService"

netstat-nao | find "3220"

发现当前RDP服务的端口号为8080

记一次实战学校内网渗透_第22张图片

记一次实战学校内网渗透_第23张图片

记一次实战学校内网渗透_第24张图片

直接远程内网IP:8080,提示访问拒绝,表示VPN并未对外开放8080端口的访问。本想通过reGeorg脚本建立代理,但是80端口访问为报错,测试默认网站路径写入文件也404。测试本服务器为纯内网环境,不可访问互联网。

端口复用及Socks代理

通过对当前环境的分析,目前已经获取了25x的服务器的system权限cmd,想通过这台服务器建立代理,及登录服务器,在服务器上进行同网段的扫描探测,以此来绕过安全设备的防护。

1、端口复用

但当前是通过VPN连接到内网,且VPN仅对外开放了某些特定端口。此时我首先想到的是利用端口复用,正好当前的80端口的网站为报错页面,于是上传了利用工具。

记一次实战学校内网渗透_第25张图片

在目标服务器上执行以下两条命令,此时相当于把本地的8080端口映射到80端口上。

c:\wmpub\drivers.exe

c:\wmpub\Changeport.exelocalhost 8080

执行上述两条命令后,在本地nc目标IP80

发送chkroot2007

即开启端口复用,80端口的web服务会无法访问。

记一次实战学校内网渗透_第26张图片

此时远程目标IP:80端口,即可访问服务器RDP

记一次实战学校内网渗透_第27张图片

记一次实战学校内网渗透_第28张图片

记一次实战学校内网渗透_第29张图片

如上,成功登录该服务器,通过该服务器即可当跳板登录内网更多的服务器,且可以对内网进行扫描。

记一次实战学校内网渗透_第30张图片

但在测试过程中发现端口复用并不稳定,不时就会断开,有可能是安全设备防护的原因。于是对目标IP进行了全端口扫描,看看开放了哪些端口,扫描后发现被封了访问20多分钟。待解封后对端口逐个访问测试,发现存在9527存在web服务。

记一次实战学校内网渗透_第31张图片

记一次实战学校内网渗透_第32张图片

此时需要找网站的物理路径写shell,以下两种方式即可:

dirf:\2013103011494215.jpg /s

typeC:\WINDOWS\system32\inetsrv\MetaBase.xml | findstr "Path"

记一次实战学校内网渗透_第33张图片

找到路径后写入菜刀一句话shell

记一次实战学校内网渗透_第34张图片

如上连接被重置证明存在安全设备,直接上传reGeorg代理脚本访问也是连接被重置。此处用到神器冰蝎,上传后成功连接。

记一次实战学校内网渗透_第35张图片

记一次实战学校内网渗透_第36张图片

2、开始Socks代理

开启Socks代理,sqlmap挂上代理进行考试系统注入测试记一次实战学校内网渗透_第37张图片

sqlmap.py--proxy=socks5://192.168.0.110:10086记一次实战学校内网渗透_第38张图片

如上没有报一片红,当前注入点权限为root,绕过了安全设备的防护

记一次实战学校内网渗透_第39张图片

学生信息获取

通过对数据库的浏览,发现存在member表,且数量为近5w,可以估计此约为全校学生信息,包含学号,姓名,身份证号等。

记一次实战学校内网渗透_第40张图片

通过以下SQL语句即可获取刘书源的信息:

selectusername,name,idcard from user_data where name='刘书源';

记一次实战学校内网渗透_第41张图片

如上,即可获取刘书源的学号及身份证号码,通过身份证号码后六位即可登录大部分系统。

记一次实战学校内网渗透_第42张图片

记一次实战学校内网渗透_第43张图片

如上达成此次测试的目的,成功获取刘书源的相关信息。

总结

本文主要通过信息收集加弱口令扫描,到最后获取信息,并没有太多的亮点,更多的是测试过程中遇到问题的解决思路的分享。若后续要继续测试,可以围绕以下的系统作为突破点。

1、通过爆破教师弱口令,登录门户系统进行测试。

记一次实战学校内网渗透_第44张图片

记一次实战学校内网渗透_第45张图片

2、OA系统

记一次实战学校内网渗透_第46张图片

3、教学平台

记一次实战学校内网渗透_第47张图片

4、科研系统

记一次实战学校内网渗透_第48张图片

5、财务系统

记一次实战学校内网渗透_第49张图片

6、资产管理系统

记一次实战学校内网渗透_第50张图片

7、抓取已经获取服务器的账号密码,收集服务器的数据库相关信息等继续进行横向渗透测试。

至此,本篇完。

声明:作者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关。

实操推荐

Sqlmap教程sqlmap是一款开源、功能强大的自动化SQL注入工具,支持多种数据库和多种注入方式

长按下面二维码,或点击“阅读原文”,可预览学习(PC端操作最佳哟)

记一次实战学校内网渗透_第51张图片

长按开始学习

记一次实战学校内网渗透_第52张图片

别忘了投稿哦

大家有好的技术原创文章

欢迎投稿至邮箱:[email protected]

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予200元-800元不等的稿费哦

有才能的你快来投稿吧!

了解投稿详情点击——重金悬赏 | 合天原创投稿涨稿费啦!

点击“阅读全文”,开始学习

你可能感兴趣的:(记一次实战学校内网渗透)