記一次實戰提權到內網初探

原創：合天智匯

一、前言

由於之前寫過幾篇都是拿到WebShell後就結束了，所以本文略過前期拿WebShell的過程，側重點在獲取了WebShell後的思路。本文為實戰類文章，僅到內網做了初探，故較為基礎，適合像我這類型的小白，大佬略過。實戰最大的樂趣是可能會遇到各種問題，不像自己搭環境，一路乾脆利索。所以實戰更多的是思考及嘗試。

PS：截至投稿前，已將漏洞提交廠商並驗證已完成修復。

友情提示：測試過程中請務必遵守相關的法律法規，在有授權的前提下做測試。

​

二、信息收集

前期獲得WebShell，一句話鏈接地址：http://xx.com/img/x.jsp。

​

菜刀連接後，常見的信息收集命令如下：

Whoami

Systeminfo

Netstat-nao

Tasklist/svc

Ipconfig

Netshare

Netuser等等

但此時執行命令出現如下錯誤：

​

執行不了CMD命令，這種情況有可能是Tomcat中間件或服務器做了相關限制，可以嘗試上傳一個CMD，進行嘗試。

​

​

此處仍舊執行不了CMD命令，通過對該IP的掃描，發現只開放了一個8889端口。故應是內網的服務器通過NAT映射8889端口對公網提供服務。

​

所以目前要做的是找到服務器的內網IP地址，添加一個用戶，建立代理進入內網。一般來說JSP腳本默認權限比較大，有可能直接就是System權限。此處可直接讀取Administrator的桌面目錄，則說明當前權限起碼是Administrator權限，否則會提示該目錄拒絕訪問。

​

因此時無法執行CMD命令，故收集服務器上的敏感信息，找到數據庫連接信息，並連接數據庫。

​

​

如上成功連接數據庫，嘗試利用Mssql的XP_Cmdshell進行CMD命令的執行。

開啟xp_cmdshell：

EXECsp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure'xp_cmdshell',1;RECONFIGURE

執行命令：EXECmaster.dbo.xp_cmdshell 'whoami'

​

​

成功執行CMD命令，當前已為System權限，收集到的信息如下：

服務器：WindowsServer 2008 R2 Standard；

IP地址：172.16.10.1；開啟了3389端口；建立了測試賬號。

三、建立代理

由上述已經獲取了服務器內網IP地址及新建了賬號，由於服務器是在內網不能直接連接，故需要通過代理才能連接該內網服務器。

此處第一次上傳reGeorg的jsp代理腳本，直接被服務器殺軟殺了；使用冰蠍的腳本成功上傳，並開啟了代理。

​

使用SocksCap進行代理連接，使用建立的賬號登錄服務器。

​

​

登錄後可以看到服務器安裝了SymantecEndpointProtection防護軟件，查看防護日誌，之前reGeorg的jsp腳本就是它被刪掉的。如果不是免殺類的EXP，執行文件都會被殺掉。

四、內網初探

進入內網後，本白主要就是做信息收集，例如抓本服務器密碼，掃內網各種服務器弱口令，Ms17-010高危漏洞等等。

​

1、抓本服務器Administrator密碼。

​

2、查看內網的共享資源列表，可以查看當前有00網段和10網段，此處發現了另外一個網段。

​

3、掃描10網段開放了80,8080等web服務的主機。

​

4、掃描10網段網段存在MS17-010漏洞的主機。

​

5、掃描10網段存在服務弱口令的主機。

​

​

6、查看10網段的Web服務。

​

​

如上，可以看到10網段基本是監控與少數服務器所處的網段。

接下來對00網段進行以上的掃描。

1、掃描11網段存在服務弱口令的主機。

​

通過以上的弱口令，即可以直接登錄服務器，危害較大，如下；

​

​

2、查看00網段的Web服務。

​

數據挖掘管理後臺存在admin弱口令，登錄可以獲取相關的接口信息，如下

​

​

OA服務器登錄界面

​

如上，通過對00段的掃描訪問，可以看到該網段主要為服務器網段。

若要繼續，更多的還是做信息收集，發現或掃描內網更多的網段及服務，哪些存在弱口令，哪些存在漏洞等。

五、總結

本文作為內網初探，由於本白能力和精力的限制，僅驗證了漏洞的危害內網後便提交廠商了，沒有繼續深入。其實通篇下來也只是利用了內網一些服務弱口令，如果要繼續內網橫向滲透可以從以下幾個方面：

1、RDP爆破，通過抓取本服務器的密碼，爆破內網中其他同密碼的服務器。

2、MS17-010漏洞，通過該漏洞可直接獲得服務器權限，但可能造成服務器藍屏，需謹慎。故本文也沒有對該漏洞進行利用。

3、對已登錄的服務器繼續做信息收集，如收集密碼，一些數據庫配置連接信息，查看網段等。

4、對已發現的Web服務器繼續做測試，如發現的很多海康監控、OA系統等，可以做弱口令爆破。對發現的數據挖掘WebService接口進行測試，是否存在注入，未授權等。不過這樣下來篇幅會很長，需花費很多的時間及精力。

5、內網ARP嗅探，在無上面的常規漏洞情況下可以嘗試，但不建議使用。

相關實驗

1、利用kali工具進行信息收集：

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015082709512800001

2、代理工具的使用：

http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017032414181900001

介紹各種代理工具的使用，針對不同操作系統，不同代理類型進行實踐學習

聲明：筆者初衷用於分享與普及網絡知識，若讀者因此作出任何危害網絡安全行為後果自負，與合天智匯及原作者無關，本文為合天原創，如需轉載，請註明出處！