原题目:记一次实战演练院校内部网渗入

序言

之前纪录过一篇提权到内部网初探,但觉得结束一些匆忙,近期恰好碰到了非常好的实战演练全过程,故这篇为全过程纪录复现,主要紧紧围绕着总体目标开展检测。期待看了这篇能给您产生一些构思或启迪。

假定此次检测前提条件为:仅了解刘书源为某院校的学员,目地是尽量的搜集刘书源的信息内容,为此开展进行。
完成自助建站后

PS:截止文章投稿前,已经将系统漏洞递交eduSRC服务平台并认证完成修补。

内部网财产嗅探

最先根据Google英语的语法检索该院校的学籍号。它是个许多人皆知的小窍门,根据搜集的学籍号,能够转化成学籍号字典去工程爆破弱动态口令客户。以下得到了该学校的学籍号文件格式。

根据下列公示通告,获得到默认设置的登陆密码为真实身份证号的某段组成,因此处得到了学籍号以后,能够考虑到怎样获得学籍号相匹配的真实身份证号码。

弱动态口令工程爆破

根据所述获得到的学籍号转化成字典,寻找一处无认证码的学员系统软件开展工程爆破。

如上取得成功工程爆破出尾数50的学籍号存有弱动态口令,根据弱动态口令能够登陆该系统软件,登陆后能够获得到该学员的真实身份证号码。这时,大家把握了一个学籍号、名字及真实身份证号,假如時间充足能够多去工程爆破好多个。

但这时其实不了解刘书源的学籍号,若能获得刘书源的学籍号应能获得大量的信息内容。

根据对该院校网站再次访问,发觉网站存有VPN系统软件,这里为提升口。

内部网财产嗅探

根据所述获得到的学籍号+真实身份证后6位取得成功登陆VPN系统软件,若登陆不了功,则能够多工程爆破好多个学籍号,试着根据她们的真实身份证号开展登陆,总会有学员沒有改默认设置登陆密码的。

如上取得成功登陆VPN系统软件,进到院校内部网。根据对里网的财产开展了大约的访问及信息内容搜集,发觉存有下列IP段:

192.168.25x.0

192.168.4.0

192.168.5.0

扫描仪该网段对外开放WEB服务的网络服务器,同时后台管理扫描仪SQLServer及MySQL的弱动态口令。以下,内部网還是存有许多的网站测试器。

根据对好多个网段的Web系统软件的逐一访问检测,发觉关键存有下列系统漏洞:

1、线上考試管理方法系统软件存有SQL引入

此系统软件最有将会存有刘书源的学籍号信息内容,故对于此事系统软件开展检验。

抓包软件应用Sqlmap开展检测,一片红证实存有安全性安全防护手机软件。

2、财产管理方法系统软件存有SQL引入

客户名处加单引号出错

抓包软件应用Sqlmap开展检测

一样抓包软件应用Sqlmap开展检测,但这里未被阻拦。

剖析后发觉该站点和上边站点并不是一个网段,考試管理方法系统软件的是192.168.25x.0网段,而当今系统软件是192.168.4.0网段,将会是WAF的布署部位缺点造成未安全防护到192.168.4.0网段。推断其大约互联网拓扑图以下:

尽管当今引入点为SA管理权限,但不兼容os-shell,也找不到后台管理管理方法网页页面,且该系统软件非常大将会不会有大家必须的信息内容。这里姑且先放一边。

3、后台管理弱动态口令

发觉一系统软件后台管理弱动态口令,取得成功登陆后,仍未有能够运用的作用点,且该站点有WAF开展安全防护。

这时服务扫描仪那一块早已扫描仪进行,扫到存有sa弱动态口令的服务。

4、SA弱动态口令

以下,发觉两部存有弱动态口令的网络服务器,且为192.168.25x.0网段。能够根据获得该网络服务器管理权限创建代理商,随后去跑同网段考試系统软件的引入点,就可以绕开WAF的安全防护,从而可获得数据信息库的信息内容。

根据SQL专用工具联接后能够实行cmd,且当今管理权限为system管理权限。

根据下列指令搜索RDP服务的端口号号

tasklist/svc | find "TermService"

netstat-nao | find "3220"

发觉当今RDP服务的端口号号为8080

立即远程控制内部网IP:8080,提醒浏览回绝,表明VPN仍未对外开放对外开放8080端口号的浏览。本想根据reGeorg脚本制作创建代理商,可是80端口号浏览为出错,检测默认设置网站相对路径载入文档也404。检测本网络服务器为纯内部网自然环境,不能浏览互连网。

端口号重复使用及Socks代理商

根据对当今自然环境的剖析,现阶段早已获得了25x的网络服务器的system管理权限cmd,想根据这台网络服务器创建代理商,及登陆网络服务器,在网络服务器勤奋行同网段的扫描仪检测,为此来绕开安全性机器设备的安全防护。

1、端口号重复使用

但当今是根据VPN联接到内部网,且VPN仅对外开放对外开放了一些特殊端口号。这时我最先想起的是运用端口号重复使用,恰好当今的80端口号的网站为出错网页页面,因此提交了运用专用工具。

在总体目标网络服务器上实行下列两根指令,这时非常于把当地的8080端口号投射到80端口号上。

c:wmpubdrivers.exe

c:wmpubChangeport.exelocalhost 8080

实行所述两根指令后,在当地nc总体目标IP80

推送chkroot2007

即打开端口号重复使用,80端口号的web服务会没法浏览。

这时远程控制总体目标IP:80端口号,就可以浏览网络服务器RDP

如上,取得成功登陆该网络服务器,根据该网络服务器就可以当跳板登陆内部网大量的网络服务器,且能够对里网开展扫描仪。

但在检测全过程中发觉端口号重复使用其实不平稳,时常便会断掉,有将会是安全性机器设备安全防护的缘故。因此对总体目标IP开展了全端口号扫描仪,看一下对外开放了什么端口号,扫描仪后发觉被封了浏览20分多钟。待解除限制后对端口号逐一浏览检测,发觉存有9527存有web服务。

这时必须找网站的物理学相对路径写shell,下列二种方法就可以:

dirf:2013103011494215.jpg /s

typeC:WINDOWSsystem32inetsrvMetaBase.xml | findstr "Path"

寻找相对路径后载入菜刀一句话shell

如上联接被重设证实存有安全性机器设备,立即提交reGeorg代理商脚本制作浏览也是联接被重设。这里采用武器冰蝎,提交后取得成功联接。

2、刚开始Socks代理商

打开Socks代理商,sqlmap挂上代理商开展考試系统软件引入检测

sqlmap.py--proxy=socks5://192.168.0.110:10086

如上沒有报一片红,当今引入点管理权限为root,绕开了安全性机器设备的安全防护

学员信息内容获得

根据多数据库的访问,发觉存有member表,且总数为近5w,能够估算此约为该校学员信息内容,包括学籍号,名字,真实身份证号等。

根据下列SQL句子就可以获得刘书源的信息内容:

selectusername,name,idcard from user_data where name='刘书源';

如上,就可以获得刘书源的学籍号及真实身份证号码,根据真实身份证号码后六位就可以登陆大部分子系统。

如上达到本次检测的目地,取得成功获得刘书源的有关信息内容。

小结

文中关键根据信息内容搜集加弱动态口令扫描仪,到最终获得信息内容,并沒有过多的闪光点,大量的是检测全过程中碰到难题的处理构思的共享。若事后要再次检测,能够紧紧围绕下列的系统软件做为提升点。

1、根据工程爆破老师弱动态口令,登陆门户网系统软件开展检测。

2、OA系统软件

3、课堂教学服务平台

4、科学研究系统软件

5、会计系统软件

6、财产管理方法系统软件

7、爬取早已获得网络服务器的账户登陆密码,搜集网络服务器的数据信息库有关信息内容等再次开展横着渗入检测。

到此,这篇完。

申明:创作者初心用以共享与普及化互联网专业知识,若阅读者因而做出一切伤害互联网安全性个人行为不良影响自傲,与合天智汇及著作人不相干。

实际操作强烈推荐

Sqlmap实例教程:sqlmap是一款开源系统、作用强劲的全自动化SQL引入专用工具,适用多种多样数据信息库和多种多样引入方法

大伙儿有好的技术性原創文章内容

掌握文章投稿详细信息点一下——巨资悬赏任务 | 合天原創文章投稿涨稿酬啦!回到凡科,查询大量

义务编写:

记一次实战演练院校内部网渗入

原题目:记一次实战演练院校内部网渗入 序言 之前纪录过一篇提权到内部网初探,但觉得结束一些匆忙,近期恰好碰到了非常好的实战演练全过程,故这篇为全过程纪录复现,主要紧


预约挂号



扫描二维码分享到微信