某運營商外網打點到內網橫向滲透的全過程

 Part1 前言 

大家好，我是ABC_123，不知不覺，我一個人已經連續寫了51篇原創文章了。本期復盤一次之前做過的某運營商的外網打點到內網橫向過程，由于是好多年前的了，很多細節記不清了，但是關鍵步驟還記得。這次滲透過程的特點是內網很大，打到了域控及核心數據庫區，但是卻沒用到什么高深技術，用的都是常規手段，經驗很重要。接下來就把完整過程分享給大家，希望對大家有一些幫助。

歡迎關注我的公眾號"ABC123安全研究實驗室"，ABC_123堅持99%原創，不抄襲文章，不發水文，不發廣告。

 Part2 技術研究過程 

滲透測試流程圖

首先放出一張我做的滲透測試流程圖，方便大家理解整個過程。

外網信息收集過程

首先客戶給出了一個excel的資產列表，這個資產類表已經被各個廠商搞過好幾輪了，基本上在外網發現一個代碼執行漏洞是很難的，但是不能給自己提前下結論，滲透測試該走的流程還是得走，也許就會有意外收獲。于是我做了以下的工作：

 1   把客戶給的各種域名解析成ip地址，結合Excel表中已有的ip地址，合并去重，整理成一個ip地址的列表。

 2   對上述ip地址進行全端口掃描，然后使用nmap進行服務識別，重點整理開放了HTTP/HTTPS的ip地址，形成URL列表。

 3   各種漏洞測試與查找，結果在外網沒有發現有價值的漏洞，于是我接下來又做了以下兩件事情。

 4   把前面整理的ip地址列表，擴充整理成C段列表，比如說出現了12.12.12.19、12.12.12.46等地址，那么我們就統一整理成一個C段12.12.12.1/24。

 5   經過初步掃描，發現了一個屬于客戶的資產，但是客戶自己卻不知道。點開頁面源碼中有.action地址，直接用struts2工具就可以拿下權限。

 6  對上述整理的URL列表挨個手工查看，通過經驗一層層地翻看各種js文件和鏈接，又發現了一個廢棄的3級域名的站點，上面直接一個struts2漏洞，然后又是拿下權限。

小結: 其中有一個Struts2漏洞，客戶掃過好幾輪了都沒發現。原因是這個網站如果發現攻擊行為超過3次，后續一段時間內就會直接返回另一個正常頁面，導致工具繼續掃描掃不出漏洞，因此這個Struts2漏洞只能手工測試才能發現，當然你用輪換代理的方式也能發現。

架設第一層代理

 1   獲取兩個webshell之后，接下來就是搭建通往內網的代理通道了，這兩個webshell都是不出網的，于是上傳了reGeorg腳本，通過http隧道對內網進行滲透。這兩臺服務器都是Windows主機，IP屬于192.168.x.x段。

 2   接下來在其中一臺Windows主機上傳了一個爆破密碼的小工具，另一臺Windows主機不作任何掃描，如果權限丟失，至少還有一個入口存活。一般不建議在本地用Proxifier掛上代理的方式進行掃描，因為http隧道代理通常不穩定，這樣做容易導致掃描結果大量漏報。這樣很快通過SMB口令、SQLServer口令提權、SSH口令、RMI 1099代碼執行等方式，獲取了幾臺內網主機權限。

 3   接下來通過拿到的權限，收集本地shadow文件、linux環境變量、linux的history文件、瀏覽器記錄、服務器上的數據庫配置文件等，繼續做成密碼字典，重新進行內網各種口令爆破，繼續拿權限，這樣周而復始做過幾輪之后，拿了很多權限，有windows主機，也有Linux主機。

 4   通過整理已經獲取的主機權限發現，內網獲取的權限集中在192.168.x段，內網各段功能劃分比較規整，比如在192.168.1.1/24網段內，存放的都是Linux的FTP服務器，提供一些操作系統鏡像文件、常用軟件、各種文檔的下載；在192.168.19.1/24網段內，有一些win7系統，還有一些打印機設備，推測是一些員工機器。

內網尋找通往10.x段的機器

接下來需要想辦法獲取10.x的機器，一般重要的系統都放在10.x網段。于是在獲取的主機權限上，挨個執行ipconfig /all命令并分析結果，挑選了一臺雙網卡機器作為跳板機，它同時能通192.168.x和10.x網段，接下來面臨的問題就是怎么找到10.x網段的存活機器，因為這個網段太大了。

我記得當時試過了nmap判斷內網存活主機的命令，我記得命令很長很長，各種參數，但是這個命令怎么說呢，有效果，但是在當時的內網環境中效果一般，很多機器是禁ping的掃不出來。

最終研究了好長時間，最終在跳板機上上傳一個掃描snmp弱口令的工具，很快找到了10.x網段內的10幾個snmp服務弱口令，通過一個snmp信息查看工具，每一個snmp口令登陸之后通過OID查看各種信息，有的SNMP服務可以看到很多內網IP地址，比如說10.10.2.13、10.23.1.106、10.16.0.121等等，于是我把這些10.x網段的IP地址整理成列表，然后擴充成相應的C段，然后對這些C段列表掃描常用的幾個端口，用這種方法快速得到10.x的一些存活機器，接下來又是放上掃描工具掃描一下試試。

找到最關鍵的一臺主機

使用工具在10.x段內進行漏洞掃描，通過各種口令、通過各種漏洞獲取了很多內網服務器權限，部分機器是有多個管理員賬號的，本地提取shadow文件，對hash進行破解，找到了兩個疑似運維賬號的弱口令yunwei:Yunwei@123、P@ssw0rd01，接下來使用這兩個密碼，在內網重新掃描，最終發現了一臺最為關鍵的linux主機，在這個主機執行netstat -an發現，連接著眾多的10.x段服務器，最終在這臺機子上，上傳一個二級代理，后續的內網橫向就以此為跳板機。把netstat -an結果中的很多10.x的網段進行整理，重新進行漏洞掃描及密碼爆破。這個二級代理所在的網段，大概許久沒人進來過，所以權限非常好拿，各種漏洞很多，沒啥技術含量，最終找到了一臺非常大的mysql數據庫權限，后續又進入了Oracle核心數據庫區，這里就不展開說了。

域控權限獲取

最后說一下域控權限獲取，放在最后講是怕給大家誤導。有一天有一個管理員登錄了我在內網的一個跳板機，在3389連接框上面顯示了從未見過的賬號，于是趕緊用mimikatz提取哈希，發現是一個高權限的域管賬號。

拿了域控自然是很高興，但是別高興得太早，這個域控能控制大約800多臺主機，我記得當時域內有很多英文的操作系統，還有一些有關HP的服務器，我在里面轉了一晚上，沒找到有價值的業務系統，最后我也沒搞明白這么多機器是用來做什么的。所以這個域控拿到手，看起來很高大上，對進一步內網橫向工作用處不大，所以果斷放棄，尋求其它思路繼續進行內網橫向工作。

 Part3 總結 

1. 外網打點需要注重信息收集，客戶給的資產不一定準確，需要自己收集擴充。

2. 漏洞的利用除了用好工具以外，手工測試也是必要的。

3. 通過ipconfig /all 及 netstat -an等簡單的命令，在內網中定位了關鍵跳板機。

4. 本次內網橫向的主要手段就是內網密碼收集及密碼整理爆破，不斷擴充字典，以滾雪球方式擴大戰果。

5. 在查找10.x網段的存活主機時，借助了snmp弱口令來確定內網存活ip段。