freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次实战攻防(打点-Edr-内网-横向-Vcenter)
2022-06-21 20:27:12
所属地 山东省

前言

前不久参加了一场攻防演练,过程既简单也曲折,最后通过横向渗透获取到了vcenter管理控制台权限,成功拿下本次演练目标。

寻找目标

目标分配后,面对大范围的目标,首先要做的就是寻找一些容易获取权限的站点,比如shiro、weblogic以及各类反序列化漏洞。之后再将目标锁定到管理后台,使用爆破等手段寻找一些能进后台的账号密码,然后再去找上传点拿shell。
本次渗透在某站注册页面发现了上传身份信息的地方,但是上传后发现无返回路径。
图片后通过目录扫描,发现了存在目录遍历漏洞,可以看到不同日期上传的文件
http://IP/upload/Attachment/
图片然后在对上传点测试时发现存在waf,拦截了非法后缀名、文件内容等。对此进行一些常规的修改和测试例如修改Content-Type、修改boundary前加减空格、多个Content-Disposition字段、分块传输、脏字符最终上传成功。

获取webshell

找到上传后的木马获取webshell图片拿到webshell发现是IIS权限,通过查看进程发现装有杀软和edr图片对木马进行免杀上线CS,然后利用CS插件进行提权时发现失败。

图片

然后通过搜集本机的服务发现开放了1433端口,通过查找配置文件发现了数据库连接地址图片

提权system

利用CS开启代理后,登录连接MSSQL数据库,执行命令为system权限图片最终利用数据库权限执行CS木马上线获取system权限。

图片

绕过edr

通过query user查看管理员用户不在线,利用mimikatz获取管理员密码和hash,搭建socks隧道进入目标机远程桌面,发现存在某edr二次验证图片查询网上资料后发现将该文件删除或重命名即可绕过,成功登录服务器
C:Program Files/Sangfor/EDR/agent/bin/sfrdpverify.exe
图片登录该管理员主机后,发现阿里云盘,通过搜索阿里云盘文件发现大部分为备份文件,在某一最近更新的项目中发现服务器密码本txt,其中记录的账号密码一台服务器为本机服务器,一台为其它服务器图片连接密码本中记录的第二台服务器,同时上线CS,有了第二台跳板机后,上传内网扫描工具使用第一台跳板机进行扫描(主要是怕在只有一台跳板机情况下直接扫描容易触发设备告警,造成权限丢失)。同时继续搜集信息,扩大攻击面。图片

突破隔离内网横向

最后发现查看本机记录的mstsc发现可连接新网段机器,同时测试发现只有该服务器可访问图片图片连接该服务器后,继续发现存在套娃服务器xx.xx.xx.7图片测试发现均不出网,使用CS的中转功能进行中转跳板机上线并上传扫描工具对该网段进行enter管理控制台图片

获取vcenter管理控制权

使用常用的漏洞如CVE-2021-21972、CVE-2021-21985等漏洞进行测试无果后,将目标锁定在该服务器其它端口上,通过全端口扫描发现该服务器还开放41433端口存在MSSQL服务。使用top100弱口令爆破失败后,打算通过搜集拿到的所有服务器、数据库、浏览器等密码进行碰撞。最终运气好碰撞成功,拿到该vcenter服务器权限成功登录该vcenter服务器图片最终拿下该目标单位约70余台服务器,20台数据存储等。至此,目标单位出局。图片

总结

此次渗透表面看起来丝滑顺畅,实际当中走了不少弯路,尤其是安全防护、安全设备以及蓝队防守人员存在,让打点变得更为困难。同时大量的时间花费在了内网信息搜集上,包括在内网中扫描出不少资产和漏洞,越做越大搜集的信息也越来越多,很容易迷失方向从而会使人变得烦躁,所以在攻防演练中的有限时间内需要根据具体的评分规则进行目的性渗透(刷分)。
# 攻防演练 # 内网渗透
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录