目标
https://www.xxxxxxx.net
外围打点
信息收集
通过各种工具和在线网站,对子域名进行收集,并解析ip。 发现主站存在CDN,使用fofa,搜索网站title、js等关键信息和子域名解析的ip对应的C段,发现真实ip。
3, 对真实ip的ip段进行扫描,发现一台机器存在Weblogic中间件,使用exp进行测试,发现成功Getshell。
Getshell
http://xxx.xxx.xxx.xxx:9001/
weblogicCVE-2017-10271
权限维持
shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v "dll" /t REG_SZ /d "rundll32 C:\Windows\Temp\log.dll start"
信息收集
没截图,懒得复现了。
xxx.COM\Administrator xxxxxx
明文密码和hash 域用户 域管理员 域机器
域内机器大概有70-80台左右,属于一个小型的内网。域控机器
这里忘记截图了。
各类密码搜集
查看当前机器上安装的程序,如果有浏览器,那么就可以搜集浏览器的密码,如果有安装的数据库,也可以找数据库的配置文件,读取帐户密码,总之,要对每一台机器进行仔细地信息收集。微信搜索公众号:Linux技术迷,回复:linux 领取资料 。
这里也没有截图。
横向渗透
无法上线的原因:
1. 账号密码不对。
2. 该账户密码在目标机器上停用。
3. 存在杀软拦截横向渗透。
域渗透
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
到这里已经完成了渗透目标。
MAIN_FILESERVER机器 ……
痕迹清理
常见日志 HTML 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB
Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志;
Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志;
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt;以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
wevtutil.exe
支持系统:Win7及以上。
不支持删除单条内容。
wevtutil el >1.txt
wevtutil qe /f:text "windows powershell"
wevtutil gli "windows powershell"
wevtutil cl "windows powershell"
攻击结果
总结
外围打点,注重资产收集,真实ip的寻找、攻击面的扩大,平常要对各种0day进行收集,做好webshell的免杀,方便在项目中直接使用。 内网渗透,注重对内网机器的信息收集和机器定位,流量代理(有可能被杀,可以二次开发一些流量代理工具),做好木马的免杀和权限维持,要有一套自己的内网渗透方法。 域渗透,对各类域渗透的攻击手法和工具使用要熟悉,要判断当前在域的结构,如果拿不下域控,可以尝试对一些其余域内的重要服务器进行渗透,运气好直接就能拿到域管帐户密码,那么整个域就相当于直接拿下了。 做好痕迹清理。
