1. 前言
一次实战演练终于结束了,趁着还记得一部分细节,赶紧能写多少写多少。全程无任何截图,只谈思路和攻击细节。
由于团队人数不多,且大部分都是新人,甚至后半段时间新人也走了,所以从打点到内网到写报告,大部分事都是亲历亲为,效率较低。
一共存在5次打点到成功突破内网,其中4次都全程参与了。
得到的最大心得就是,提前准备的东西越多越好。
平时对java反序列化掌握的越深刻,实战中踩的坑就越少。
平时多关注刚出的漏洞,从中挑选出具备实战价值的并且了解它的原理和进一步利用,甚至据此挖掘出更多0day,实战中很有可能用得上。
平时多制作不同维度的免杀,实战中面对各种安全客户端才能派的上用场。
台上一分钟,台下十年功。
2. xxl-job
在第二次打点中,队友打了一个xxl-job,通常大家会使用bash shell直接弹shell,但后来我在内网中碰到一个不出网且没有dns的xxl-job。此时可以利用xxl-job自带的log功能进行命令回显,来证明漏洞存在。
也就是XxlJobHelper.log(str);,用不同于shell的GLUE(java),直接在线运行java代码。
如果这台服务器有价值,那么能否在这种环境中命令回显或者打内存马吗?
3. 备份泄露到代码审计
在第二次打点中,队友发现了一个web备份文件,其名称和子域名相关,大概是这样。
http://rts.xxx.com/rts.rar
这是一个.net的web,只有bin目录和.aspx文件,其中.aspx文件全部包含.aspx.cs,这是典型的预编译,因此真正的代码在bin目录中的某个dll其中。需要用dnspy去反编译dll,来代码审计。最终我发现了其中有一个未授权文件上传漏洞,且为通用型漏洞也就是0day。同时这里又有一个经典的坑,IIS的预编译环境是不支持直接上传aspx的,但可能支持asp。
如果连asp也不支持怎么办呢?那就要向bin目录上传编译后的compiled和dll文件。
4. 蓝凌OA历史漏洞
在第五次打点中,发现了蓝凌OA。
蓝凌OA历史上有两个很经典的越权漏洞,结合可以利用需要授权的几个接口,达到读密码+jndi/xmldecode/bsh/el/jsp write五种不同的攻击路径。在我之前的一篇文章中已经讲过了。
很多人都只是知道它有漏洞,甚至拥有批量工具,但并不知道具体的利用方式。
在实际环境中,无法读密码,xmldecode被waf拦截,el被拦截,jsp write不存在。唯一解只剩bsh代码执行。
同时waf拦截了冰蝎/哥斯拉的流量,且本地存在hids,拦截了包括whoami在内的绝大部分常见命令。这种防护力度使得我最终放弃了这个打点,只用set命令来证明漏洞存在。
5. 宏景HCM历史漏洞
在第三次打点中,成功使用这一漏洞突破了网络边界,宏景HCM历史上有两个公开的RCE漏洞。一个是SSRF+Axis,一个是任意文件写。
前者由于存在waf,非常难以绕过,而后者相对比较好绕过。
突破内网后,发现整个内网都不通外网不通dns,只能使用reGeorg+冰蝎自带的socks5代理。前者速度快(特别是neo-reGeorg最新版),但只能代理http协议,后者速度慢,但可以代理其他tcp协议。
为了追求效率,我在内网中尝试打下一些简单的http服务,寻找可以出网的服务器。结果发现内网也存在waf。其中包括tomcat上传war包,jboss反序列化,weblogic xmldecode这些简单漏洞都会被拦截。
6. weblogic xmldecode
非常简单且常见的一个反序列化漏洞,在外网打点,内网捞分时我都见过它,但是会发生很多问题导致它无法被利用。这里主要关注waf的部分。
xmldecode也可以利用XXE的编码技巧来进行waf绕过,在实战中我使用了cp037。
在实战中还碰到一种情况,waf对/wls-wsat/CoordinatorPortType拦截异常严格,还好有/_async/AsyncResponseService。
尽管它们相差无几都是xmldecode,但是/_async/AsyncResponseService有着天然缺陷很难命令回显(被202覆盖),再加不通外网就需要打内存马了,市面上没有现成工具或者poc需要自己写。
7. heapdump+shiro
在第四次打点中,在外网中收集到了一个文件共享web的弱口令,登录到文件共享平台,发现里面有文件共享服务的用户手册,提供了另外一个不在表面上的服务路径和默认密码。
通过端口和目录扫描,发现了这个隐藏服务,其有着heapdump的内存泄露,使用JDumpSpider在里面找到了shiro key,打入内存马。完成内网突破。
这里面有多个坑,首先是shiro_attack工具原因,无法识别出来这个shiro key是正确的,虽然可以强制命令执行,但打入内存马会提示需要先爆破key。
其次因为该隐藏服务是在二级目录下,也就是/RTS/api/login,其中/RTS是nginx反代的,因此如果打入内存马在/favicon.ico,需要访问/RTS/favicon.ico。
最后这种都是k8s微服务,打进去的是docker,很有可能网络和命令都受到了限制。
解决了之后,进入内网,直接定位wiki,在wiki中获取了大量服务器相关信息,一路畅通无阻。
8. thinkphp5 RCE
在第五次打点中,某个子域名里发现了thinkphp5的RCE。又是一个常见且简单的漏洞,但同时也有不少坑点,php7+disable_functions+web目录不可写。没有宝塔waf实在是太容易解决了,简单的包含session,然后在蚁剑中配置了thinkphp5 RCE的body,就可以直接蚁剑连接。
但如果想要哥斯拉呢?哥斯拉不支持body,这个时候就需要搭一个中转服务,将流量加上body将哥斯拉代理出去。
当然最好还是找到一个可以直接上传webshell的web目录,这个时候就要想到upload目录是一定可以上传的,但很遗憾的是存在waf对upload/**.php进行拦截。最终找到了其他web服务的缓存目录进行webshell上传。
9. 内网
外网打点中,我们需要触发多次waf,使用webshell工具,动作明显,很容易被蓝队发现。来之不易的打点shell很容易掉。
但在内网中,如果没有遍布各种安全防护,还是很容浑水摸鱼的。所以永远要优先在内网中获得一个和外网沟通的渠道。可以直接上cs,也可以使用一些白名单远控,或者纯粹的socks5隧道都行。最安全的做法当然是找到合法的VPN。
有的内网中往往布置了或免费,或企业版的安全软件。比如在第五次打点中,由于获得了大量RDP权限,登录上去发现了三种不同的安全软件。
如果想要用这些机器做跳板,要么就要求你的cs马,隧道工具,远控,密码抓取工具这些具备良好的免杀。
转载于珂技知识分享,原文可点击阅读原文。
