欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

通向内网的另一条路:记一次无线渗透测试实战

来源:本站整理 作者:佚名 时间:2017-08-01 TAG: 我要投稿

这时候我们拥有了Portal机的服务器权限,同样可以挂马社工客户,再利用客户的机器在进一步的内网渗透。但这样的攻击手法存在很大的风险,修改前端页面轻则造成误伤其他访客,重则可能会整个Portal无法使用。
经过一番讨论后,决定询问客户的意见是否还需要深入渗透。客户答案是想要测试能漫游内网(访问办公网及管理网),目前这个效果不是很明显,而且客户信誓旦旦的告诉我说,Guest网络是隔离网段,不可能访问办公网及管理网,还问我有多大把握可以跨过去。我当时脑子一热,说百分之九十吧。说完就有点虚,毕竟客户比我更熟悉他们的网络环境,人家都说是隔离的,而我还说有90%的把握,越想越觉得我有点吹逼呢!!既然牛逼自己吹了,只能吭哧吭哧干活,就像老马说的"梦想还是要有的,万一实现了呢?",经过沟通之后,客户可以让我们使用这台Portal作为跳板机进行渗透。
5.内网渗透
在得到了客户授权后,我们给跳板机新添加了一个账户,ssh上去拿到了一个tty shell,方便后续的渗透。使用banner-scan对内网机器http banner进行了扫描,除了有个H3C的交换机开着Webserver,其他机器并没有开放Webserver服务。从Web下手这条路是走不通了。
既然Web无法走通,那么只能寻找内网中其他的漏洞可以利用,假如存在域环境我还可以看看gpp,ms14068等漏洞,但是这次是工作组环境,比域环境还要复杂一些。目前想法是从服务下手,看看是否会存问题的服务。使用nmap进行扫描,结果发现存在MongoDB,Rsync,Redis等服务。经过测试,MongoDB虽然存在未授权访问,但是里面的数据没有什么用处,rsync不存在问题。只能寄希望于Redis。果然,Redis存在未授权访问,反弹Shell回来添加了一个账户。
拿到redis服务器权限后,netstat -antp 查看网络连接,并没有发现跟"办公网及管理网"网络有通信的建立,也无法ping通“办公网及管理网”网络。一时陷入僵局,难道今天真的要打脸了?无法跨过去这个网段了?革命尚未成功,同志仍需努力啊。其他的机器虽说存在mysql、oracle等服务,但是这两个服务并不存在能远程利用的漏洞,只能用爆破密码这种方式,爆破攻击在渗透中我个人很少用。爆破攻击存在以下缺陷:
1. 耗费时间过长
2. 会产生大量日志
3. 有可能造成账户锁定
为了不必要的麻烦,没有选择去爆破Mysql,Oracle等服务,而是从Redis机器进行收集信息,看看是否能有一些新的发现。在启动进程,端口,history,home目录中都没有发现有我想要的信息。使用find命令搜uname、user等信息时也没有很大的收获。结果在/etc/发现存在nginx的配置,Web Root目录指向\var\www\,原来此时nginx并没有启动。
进入到\var\www\目录之后,尝试能否在源码中找到邮件密码或者数据库密码之类的,提取关键信息后再扩大渗透范围。在网上找了个解密网站,对config.php文件解密,解密后的源码中发现数据库的IP地址是guest网络里另外一台机器,存储直接使用的是Elasticsearch。
Elasticsearch出过几次严重的代码执行漏洞,经过测试果然这台机器上发现存在CVE-2015-1427漏洞,通过netstat -an发现跟"管理网"有通信,跨网段任务完成了一半。顺手试了下,也可以Ping通“办公网”。很好,意味着通过Elasticsearch的机器我们完成了吹下的牛逼,打通了任督二脉,走向管理网及办公网。



总结
由于某些原因,内网渗透部分图片能提供较少,请大家关注文字部分。
WIFI默认属于不安全的网络,很多企业的防护措施都放在边界安全(Web、服务等漏洞)上,对WIFI网络不重视,导致出现第三方设备漏洞、或者ACL划分不严格的等问题,通过WIFI打破边界,进入内网的核心地带渗透事件层出不穷,希望企业能重视WIFI安全。

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载