記一次實戰攻防(打點-Edr-內網-橫向-Vcenter)

前言

前不久參加了一場攻防演練，過程既簡單也曲折，最后通過橫向滲透獲取到了vcenter管理控制臺權限，成功拿下本次演練目標。

尋找目標

目標分配后，面對大范圍的目標，首先要做的就是尋找一些容易獲取權限的站點，比如shiro、weblogic以及各類反序列化漏洞。之后再將目標鎖定到管理后臺，使用爆破等手段尋找一些能進后臺的賬號密碼，然后再去找上傳點拿shell。

本次滲透在某站注冊頁面發現了上傳身份證的地方，但是上傳后發現無返回路徑。

后通過目錄掃描，發現了存在目錄遍歷漏洞，可以看到不同日期上傳的文件

http://IP/upload/Attachment/

然后在對上傳點測試時發現存在waf，攔截了非法后綴名、文件內容等。對此進行一些常規的修改和測試例如修改Content-Type、修改boundary前加減空格、多個Content-Disposition字段、分塊傳輸、臟字符最終上傳成功。

獲取webshell

找到上傳后的木馬獲取webshell

拿到webshell發現是IIS權限，通過查看進程發現裝有殺軟和edr

對木馬進行免殺上線CS，然后利用CS插件進行提權時發現失敗。

然后通過搜集本機的服務發現開放了1433端口，通過查找配置文件發現了數據庫連接地址

提權system

利用CS開啟代理后，登錄連接MSSQL數據庫，執行命令為system權限

最終利用數據庫權限執行CS木馬上線獲取system權限。

繞過edr

通過query user查看管理員用戶不在線，利用mimikatz獲取管理員密碼和hash，搭建socks隧道進入目標機遠程桌面，發現存在某edr二次驗證

查詢網上資料后發現將該文件刪除或重命名即可繞過，成功登錄服務器

C:Program Files/Sangfor/EDR/agent/bin/sfrdpverify.exe

登錄該管理員主機后，發現阿里云盤，通過搜索阿里云盤文件發現大部分為備份文件，在某一最近更新的項目中發現服務器密碼本txt，其中記錄的賬號密碼一臺服務器為本機服務器，一臺為其它服務器

連接密碼本中記錄的第二臺服務器，同時上線CS，有了第二臺跳板機后，上傳內網掃描工具使用第一臺跳板機進行掃描（主要是怕在只有一臺跳板機情況下直接掃描容易觸發設備告警，造成權限丟失）。同時繼續搜集信息，擴大攻擊面。

突破隔離內網橫向

最后發現查看本機記錄的mstsc發現可連接新網段機器，同時測試發現只有該服務器可訪問

連接該服務器后，繼續發現存在套娃服務器xx.xx.xx.7

測試發現均不出網，使用CS的中轉功能進行中轉跳板機上線

并上傳掃描工具對該網段進行掃描，掃描發現該網段存在vcenter管理控制臺

獲取vcenter管理控制權

使用常用的漏洞如CVE-2021-21972、CVE-2021-21985等漏洞進行測試無果后，將目標鎖定在該服務器其它端口上，通過全端口掃描發現該服務器還開放41433端口存在MSSQL服務。使用top100弱口令爆破失敗后，打算通過搜集拿到的所有服務器、數據庫、瀏覽器等密碼進行碰撞。最終運氣好碰撞成功，拿到該vcenter服務器權限。

成功登錄該vcenter服務器

最終拿下該目標單位約70余臺服務器，20臺數據存儲等。至此，目標單位出局。

總結

此次滲透表面看起來絲滑順暢，實際當中走了不少彎路，尤其是安全防護、安全設備以及藍隊防守人員存在，讓打點變得更為困難。同時大量的時間花費在了內網信息搜集上，包括在內網中掃描出不少資產和漏洞，越做越大搜集的信息也越來越多，很容易迷失方向從而會使人變得煩躁，所以在攻防演練中的有限時間內需要根據具體的評分規則進行目的性滲透(刷分)。