从TCL某漏洞看内网渗透教学分享之内网信息探测和后渗透准备

常规的,从web业务撕开口子

url:bit.tcl.com

getshell很简单,phpcms的,一个Phpcms V9 uc api SQL的老洞直接getshell,拿到shell,权限很高,system

看看网卡信息

t1

只有一块网卡,处于10.4.22的私网地址

在这里,如果我们想要通过这台机器对内网进行渗透,首要工作就是进行内网探测,介绍几个方法

0x00如果你只是需要对内网的业务主机进行渗透,那么可以优先查看一下hosts,针对hosts中的主机针对性渗透

0x01如果想要对整个C段主机进行渗透,比较完整方便的方法还是扫描,这里就需要我们进行内网代理,然后扫描

正向代理or反向代理,因为此处主机无法通外网,所以我们选择正向代理

一个我常用的代理reGeorg

https://github.com/sensepost/reGeorg

上传代理脚本,然后用regerog进行代理连接(regeorg需要urllib3,所以各位需要用到时,先安装这个模块)

t2

用nmap等进行代理扫描,很简单可以使用proxychains或者win 下使用proxycap

因为我们这里指定的端口时2333,所以修改一下proxychains的conf

t3

以此来进行内网C段的信息探测

0x02当然,仅仅通过扫描,并不能获取到最全面的信息,最全面的信息,要么就是我们拿到了内网拓扑,或者,我直接日下了路由器

路由器,走你~

通过之前的nmap扫描,我们大概知道了开放web服务的主机

访问11,12,13三台主机后,发现时cisco的路由器,且是开放web管理的cisco路由器,默认密码cisco成功进入

t4

开放web管理的思科路由是可以在web端执行命令的,但是我们的路由权限只是1,cisco的权限分级大概是这样:

管理员是7 ,但是有15个权限分级,15的权限基本属于为所欲为权限

在这里,因为看到当前路由ios版本号是

t5

低版本的iOS可以利用我之前的一个老洞进行cisco路由提权

因为在web端,可以用privilege15进行命令操作

t6

这样我们就拥有了一个privilege15的用户,赶紧telnet进路由看看配置,一定会有惊喜

t7

看到我们确实拿到了privilege15的用户

那么,来瞅瞅路由配置吧

几个业务,DB,办公的vlan跃然于眼前,当前我们实在web vlan的

其他两台路由也一样到玩法

===================分割线==================

那么有的同学就问了,如果我不满足于在web vlan闹腾,如果我作为一个黑阔,我要去办公vlan去耍怎么办,哟西~既然我们都已经控制了路由啦,当然可以去闹!

因为我不是运维狗,所以咨询了z8大屌,他告诉我,少年,你听过GRE隧道么,诶嘿~

http://itchenyi.blog.51cto.com/4745638/1137143

http://www.codesky.net/article/201207/171461.html

大家可以参考这两个地方

通过GRE隧道配置,我们就可以跑到另外一个vlan去闹了~

(做人留一线,日后好相见,就不截图call_center的vlan了,渗透其网段的思路也和之前介绍的一样)

=========分割线==============

那么又有同学举手了,如果我渗透的目标无法短时间内就完成,需要进行后渗透,我怎么样才能让我之后的渗透也方便呢?

好的,同学你很猥琐,这里介绍几个平时我们工作中常用的留后门多法子

首先,这个cisco的路由后门,我们肯定要优先留一个

cisco路由器支持TCL cisco脚本,所以我们的后门也通过这个来完成

这是老外写的一个后门,先在路由中开启tclsh模式,然后引入后门脚本

这样我们就留下来后门,下次链接可以直接在网段内的机器直接

nc 路由ip 1234(端口在后门脚本中修改)

ok,如果web的入口断了,这一切都白搭,所以我们还应该对web的机器留下比较隐藏的后门

说两个,一个是文件形的后门

这个办法之前phinthon老师已经说过了,就是通过php.ini或者user.ini留后门

在一个有正常php文件的目录下新建一个.user.ini

内容为

而你的xxx.gif之类就是你的后门

具体可以参考http://drops.wooyun.org/tips/3424

第二个办法,非文件形的后门,这样的后门优势在于非常隐蔽,一般的网管都发现不了,但是有一个非常大的缺点,重启,或者进程中断后门就消失了

原理大概是:后门的代码第一行删除自身,然后驻留在后台内存里,等待外部链接

在xxx.txt中写入你的后门代码,访问后就会删除自己并循环执行txt的代码,这是之前某人写过的了

除了这样的,如果主机是linux,也可以用前段时间猪猪侠说的crontab做后门。

【via@redrain