这是一次内网***,为何标题不写内网呢,因为当时搞的时候不知道是内网,搞到一台主机之后才知道是双网卡,有对内的网卡,以为只是一次简单web***, 所以没必要夸大标题。 

     不会写的太详细,大概记录下流程

1、突破口

    通过内部扫描器没有什么服务器方面漏洞,只有一些信息泄漏,调试信息等,根本对这次的***起不到关键的作用,当时看了几天没啥思路了,该看的漏洞都看过去了,比如上传啊 社工啊  注入啊等等的都没办法用,当时二级域名扫出来了,也没啥思路了,就去看二级域名的c段了,在二级域名的c段的用iis put scaner(可返回title)工具扫描的时候发现了一个主机头绑定是blog的子域名,当时其实他们的blog的子域名是解析到另外一台主机的,我本地host绑定扫出来ip跟blog域名,直接访问,变成了另外的一个网站,是wordpress,那么剩下的就是找漏洞了。wpscan扫描没啥漏洞,通过目测wordpress插件进行查找,也没啥大的问题,祭出最无奈的一招,暴力破解,抓取用户,进行密码爆破,密码为弱口令,进去后台,在模版处拿webshell,ifconfig查看双网卡,内网。

2、内网***

   从上面博客已拿到了webshell,开启s5的反向代理,在博客的那个机器用py脚本扫描常见的端口,常见端口通过扫描发现9200 27017  27018 6379端口,看到9200立马想到了ElasticSearch的代码执行,发现存在CVE-2014-3120漏洞直接执行命令,wget下载 反弹个shell,通过翻看/etc/配置文件目录发现zabbix的服务端地址,正常情况下服务端都有web管理界面(其实zabbix服务端的机器当时我看过,但是直接现显示是redhat页面还是apache页面默认的页面,忘记了,当时没扫目录,假如扫目录就可以发现zabbix的机器,因为zabbix的web控制端目录是zabbix),访问zabbix web管理端,脑子立马反映这玩意有个注入Zabbix SQL Injection/RCE – CVE-2013-5743,哦呵呵  一测试 还确实存在 但是表名修改了,丢到sqlmap里面去跑了,跑到密码,有几个不能解密,解密了一个登录进去,权限太低,啥都干不了, 当前库的用户是新建的用户不是root但是权限挺大可以直接访问mysql数据库,查询mysql.user查看到root的密码,(这个Mysql的密码 还是blog的机器的ss密码,当时blog的时候)连接mysql,update了一个高权限的用户,进去zabbix的管理控制端,本来是想着利用zabbix的命令执行搞内网的机器呢,结果客户端不能执行命令,只有zabbix服务端可以执行命令,那么我就把zabbix服务端这太机器反弹回来了。(zabbix的表中存有session id 可以利用session欺骗进去,不用添加用户的,两种办法。)

3.跨网段

  上面把zabbix的机器反弹回来了因为目标的主站客户说在40网段,但是我们搞的是198.168.1.1,跨不过去,但是把zabbix机器搞下来的时候时候可以跨了,因为对内网的很多主机要进行监控,当然不能做隔离嘛,并且通过netstat 查看发现很多内网ip,之后有在zabbix的机器配置文件 发现了内网dns服务器.测试发现存在域传送漏洞并知道主站的ip地址,其实发现dns域传送漏洞之前我们已经找到了目标站了,并不是客户说的40网段,在20网段,我们怎么样的发现的呢? 是这样发现的,用nmap扫描的在Zabbix看到网段的时候,访问内网的一个ip的时候直接跳转到主站了,那时候%70确定了,之后有发现了dns域传送,更加确定了。之后通过收集的信息,拿下了客户的数据。


 简单的叙述下这次的过程

 进内网 本地host绑定blog,blog爆破拿websell进入内网-> 内网*** 扫描192.168.1网段发现ElasticSearch的代码执行, 在这个ElasticSearch的机器上在配置文件发现zabbix的服务端,->转战zabbix的机器,访问管理页面发现存在注入,拿到了数据库的账户密码,且数据库的密码是blog的那台服务器ssh->跨网段 通过zabbix机器发现内网其他网段的ip地址,并可达,查看配置文件发现内网dns->确定目标 扫描zabbix的网段访问20段某个内网ip跳转的主站,猜测是目标,更加确定,zabbix发现内网的dns 发现域传送 发现目标主机。


  由于工作原因,不能写太过于详细,要是有什么问题,或者疑问直接留言给我就行了。