日期:
来源:乌雲安全收集编辑:K0k1Ac | dduo
0x00 前言
记录一次地级市的护网红队
总的来说,在此次HW行动中还是学到了不少东西。故才有了本文,意在对此次HW进行复盘,总结在这次HW中学到的东西以及自己的不足与改进方法,也想做一次分享,希望能同安全圈的各位师傅们一同探讨红队之路怎么走,在攻防演练中作为攻击方我们应当做些什么才能达到HW演练所要达到的效果。以下是本人的总结与思考:由于HW中涉及的目标都很敏感,故本文截图较少,且都已进行脱敏处理。有些内容可能不太完整,望见谅~
就拿得分最高也是最有意思的一个目标来做下复盘吧,整个的攻击过程和方法是这样的0x01 总体思路
发现Fckeditor目录遍历->发现配置文件->后台登录getshell->上CS->利用cve-2021-21985拿下VM集群0x02 前期渗透
经过一些初期的信息搜集以后开始对目标站点进行常规打点渗透。利用dirsearch工具对网站进行一个目录遍历。那么就能看到很多东西了,Fckeditor是开源的一个软件,可以直接去搜他的使用手册。手册中点击_whatsnew.html可以查看相关版本,发现是2.6RC的版本去搜索相关版本的漏洞发现存在一个文件上传,但是似乎已经被修复了。目标打点——目录遍历
通过这段payload可以直接目录遍历D盘,由此可以随意访问目标站点机器内容但是在目录遍历时遇到一些小问题,比如遍历目录的时候路径中有中文字符就会报错,但是lucky的是Web目录不在中文目录下通过脚本进行简单的目录遍历发现一个文件夹是疑似web目录D:/LCREMS/####2019里面有log.txt文件,可以作为一个特征搜集网站。最终确定是6006这个端口为 D:/LCREMS/####2019 映射站点访问6006的目标端口发现是个oa系统的登录平台,在里面搜索文件,东西很多,但是没啥用,最后发现一个敏感文件找了个文件上传,它没有做任何的过滤,简简单单传了个冰蝎马转CS提权至system,这次打点就结束了。0x03内网渗透
通过在本机上进行信息收集发现不在域内,通过配置文件拿下几台数据库服务器,随后在C段内信息收集意外发现两台集群服务器。其中存在几个主机端口存在登录界面,尝试弱口令爆破,在这就不做一一介绍了。关键是扫到了VMware vsphere服务集群,这两个集群服务器均是root权限,可以控制大量虚拟机。首先对目标进行一个信息的搜集,在C段发现两台vmware esxi 查看版本发现是比较老的版本,猜测应该是存在CVE-2021-22005的CVE-2021-21985 是vCenter远程代码执行漏洞,可以允许未经身份认证的用户调用bean里的任意方法,调用恶意方法进行代码执行。之后用冰蝎直接连接。在之后将/storage/db/vmware-vmdir/data.mdb下载下来利用vcenter_saml_login进行解密解密网站:https://github.com/horizon3ai/vcenter_saml_login(注意此处直接点进入会报错,要在本地配置hosts文件将跳转域名解析到该IP修改cookie的操作如果从html5入口进入,发现cookie是空的且无法新增保存后cookie还是会便会原来的,但此时突出在从第一个入口进入,即可进入后台如果本文对您有帮助,来个点赞、在看就是对我们莫大的鼓励。