前言
首先是通过 Shiro 拿到了一台 root:
通过 InScan 看了看内网发现还挺大:
由于当前跳板是出网机器,可以直接通过 wget 下载 frp 到本地:
随即通过 socks5 代理把他内网流量代理出来:
然后反弹了一个 shell 到 msf:(为了方便后续操作)
**横向渗透
**
通过 Inscan 对内网的 WEB 进行探测找到了一个 tomcat 弱口令,通过部署 war 包拿到了 webshell:
通过 tasklist /svc 发现有 360 全家桶:
随后上传了一个冰蝎马:
通过实验室的小伙伴做了免杀上线到 CobaltStrike:
通过 mimikatz 成功抓到 administrator 密码和其他用户的 hash:
WIN-xxxx6V5B45T\Administrator xxxx@1234
随即通过添加了一个超级管理员用户 asp.net :qwe123.. 方便进远程桌面:
随即克隆了一个 administrator 用户到当前用户:
之后通过 Inscan 扫描出来一台 Mssql 弱口令成功登陆到该数据库:
经尝试 xp_cmdshell、sp_oacreate、sp_oamethod ... 等等都不能利用:
到这里的时候回头看 Inscan 扫描结果,发现有几台 Redis 未授权:
Redis:x.xx.10.43:6379
针对于 Linux 的 Redis 可以直接写计划任务反弹 Shell:
随后 VPS 监听得到 Shell:
这是一种方式,还可以通过写公钥直接登陆!首先是在本地生成了一个公钥:
然后吧公钥写进计划任务里:(记得要加两个 \n )
set x "\n\nssh-rsa 这里是你的公钥\n\n"
然后本机 VPS 就可以直接连接它的那台 redis 机器:
之后通过分析这台机器的管理员的习惯,发现了他的密码:
通过此密码成功横向拿到 x.xx.10.102 的 root :
之后通过 inScan 扫描四个网段的大 B 段:x.xx.1.1/16、xx.x.0.0/16,192.168.1.1/16,172.16.1.1/16 发现有很多存活主机:
等待了一天后,第二天发现已经扫描完毕:
由于那台跳板机器没有 chrome 浏览器,所以没能截图:
通过 InScan 扫描出来的 MS17010 成功拿下内网 x.xx.10.50 :
之后通过开启了它的 3389 :
run post/windows/manage/enable_rdp
然后添加了一个用户:asp.net
随即克隆成 administrator 用户:
由于当前机器是不出网的,排查是 DNS 的问题,随即改了他的 DNS 为 8.8.8.8 就能出网了:
随即上线到 CS:
之后提权到 SYSTEM 成功抓到 Administrator 的密码:
WIN-xxxxF42860A\Administrator xxxx@WSX
拿到密码后通过得到的密码去横向爆破,又拿到了一些机器:
针对于 Windows 的可以直接登陆远程桌面或者 Psexec 直接获取一个 Meterpreter :
对于 Linux 可以直接登陆目标 SSH:
弄到这里的时候客户叫停,至此不再深入,本次渗透测试到此为止!
InBug-实验室
InScan内网扫描器:https://github.com/inbug-team/InScan