所有的授权实战入侵网站已添加“如何入侵”标签,在侧边栏的归档中选择“如何入侵”即可查看所有文章

MENU

某市一些单位从互联网到内网

December 23, 2023 • Read: 2117 • 常山阅读设置

某市一些单位从互联网到内网

赶在2023年的尾巴,我参加某市的一次HW。首先必须强调下面所有的行为都是经过授权的。因为这次内网没怎么打,好像没什么收获,那就把打到内网的所有目标大概写一下,不会非常详细。

某卫星中心

  1. 通过资产收集发现该单位某服务平台,该服务平台的同IP下的某IP存在Springboot,存在CVE-2022-22947,通过工具写内存马直接Shell。
    1_shell.png
    1_springboot.png
    1_webshell.png
  2. 因为是Linux服务器,没啥上线的必要,反弹个shell直接进内网开扫
  3. 扫完发现内网其实没什么东西,先用默认密码登录了4个Nacos,里面没有配置文件,然后有一个Nacos密码改了,用Nacos未授权漏洞看了一下,发现里面有一个去年HW留下来的账号,但是不知道密码,于是我也用未授权添加了一个账号
    1_nacos.png
    1_nacos_1.png
  4. 还扫出来了很多SSH弱口令,但是登录发现全是网络设备,不太会利用
    1_ssh.png
  5. 然后还有非常非常多的postgresql数据库的弱口令,这也是该单位的重大战果,在数据库中发现敏感地理数据超过500W条(无图)
    1_sql.png
  6. 还有一些其他的Web弱口令啊、Redis未授权啊、MySQL弱口令、etcd未授权,虽然在里面都发现了一些可以进一步扩大攻击面的东西,但是我始终没有将内网的一些数据和系统对应上,再加上打内网时间非常短,也没仔细打。

某交通支付公司

该漏洞是同事打的,我大概看了一下原理
  1. 通过资产收集发现该公司互联网存在一台Vcenter存在任意文件读取,下载data.mdb文件,通过读取该文件伪造了一个登录Cookie,然后进入到了Vcenter后台,获取了10台服务器权限,本来打算把快照下载下来然后重置密码试试进到虚拟机内,但是因为网速问题放弃了。
    2_vcenter.png

某大型游乐园

  1. 历史shell直通内网
    3_shell.png

某小学

  1. 刚爆出来没几天的Nday,没想到直接就用上了,直接一个上传WebShell,然后上线,发现是Windows2008,抓密码、建隧道、进入远程桌面
    4_webshell.png
    4_rdp.png
  2. 翻了一下浏览器的记录,发现两个存在弱口令的网站,运维也没有在上面存其他密码
    4_web.png
  3. 直接开扫,但是发现内网并不大,除了这台服务器,剩下的全是海康威视的摄像头,可以未授权获查看镜头截图以及获取登录密码,我大概瞅了几个,能看到很多学生。
    4_hik.png

某生物科技公司

  1. 通过资产收集发现该公司的金蝶云可以RCE,打入内存马并上线,因为是network权限,用土豆系列提权
    5_jindie.png
    5_msf.png
  2. 发现是双网卡机器,直接开扫。
  3. 在金蝶服务器桌面发现一TXT文档记录了该服务器的RDP登录密码、数据库密码、两个子公司的金蝶云平台登录密码,那就RDP进去看看呗
    5_txt.png
    5_rdp.png
  4. 这个内网东西也不是很多,扫到了很多Shiro,但是找不到默认Key,还发现内网有一个非常旧的ASP站,我估计大概率有SQL注入,就挂着代理用Yakit扫了一下,果真找到一个UA注入点,好像能执行命令,但是没回显,盲打了几个payload,也没见成果就放弃了。
    5_old.png
    5_old_sql.png
  5. 有几个MS17-010,打成功了一个,直接进到RDP,这个机器上还有向日葵,也一块收集了,这个人机器上还有传奇这类游戏,挺有意思的
    5_ms17010.png
  6. 内网还有一个不出网的cve-2019-7238,能执行命令,但是实在是想不到该怎么转发出来了,现在写这个想起了可以新建用户登录啊,还是脑子不够聪明。
    5_cve.png
  7. 两个Redis,在里面发现存了登录数据,但是找不到对应的应用,而且未授权反弹shell也没成功,很可惜
    5_redis.png
  8. 接着就是重大成果,通过弱口令登录了几个MySQL数据库,在里面发现了4k条财务数据,该公司在各个平台(旺店、天猫、抖音、有赞、快手、拼多多等)百万量级的订单数据(包含姓名、地址、手机号等)
    5_ding.png
    5_addr.png
  9. 然后就是一些打印机啊、FTP、SMB之类的弱口令了,没什么意思,就不展示了。
Archives QR Code Tip
QR Code for this page
Tipping QR Code