对国外某hotel的内网域简单渗透

Penetration Testing不单单是一个博客,更热衷于技术分享的平台。
本文将讲述对国外某一hotel的渗透测试,让更多的人安全意识得到提高,有攻才有防,防得在好,也有疏忽的地方,这就是为啥你”老婆”原来是你失散多年的兄妹.

网站初探

本篇由于不是针对性的对目标进行渗透测试, 所以直接寻找网站的常见漏洞进行渗透.灰话不多扯.(开启vpn,跳到肉鸡,嘞次购.)
首先了解一下网站的概况,查看网页链接,可以看出是asp.net写的,这里就可以猜测出服务器是windows+iis.使用火狐的Live HTTP headers插件刷的一下就可以看出来了.

通过Sql注入获取webshell

这里漏洞修补了,就不截图了,直接给出方法:
http://www.91ri.org/ test.aspx?id=1 AND 1 IN (select @@version)–返回
Microsoft SQL Server 2008 (RTM) – 10.0.1600.22 (X64)

通过Log备份获得webshell

权限提升

先query user看看有在线的木有,如图:

如果有管理在线的话,要么赶紧找到提权突破口就闪,要么就先撤了等时机在上,碰到细心的管理员netstat -an一下就可以很快的排查出xxip在连它,把日志一看就把你T飞了。这里经过查看多个web.config(for一下)找到了数据库的sa明文密 码,当然你可以通过sql injection获取数据库密码hash进行破解.
在别人的地盘用”自己”的东西是不是好点,一个sa就可以干很多事情了。个人习惯,先上传gethash工具,如: PwDump7 GetHashes都是很不错的选择,抓好丢机子里用彩虹表慢慢跑,前提免杀(这里tasklist、net start、netstat -an一下木杀毒,此篇就不扯这了)

查看服务器基本信息

ipconfig /all

从上面就可以看出 是内网并且存在域,不清楚可以用命令net view /domain

渗透A域中的机器

查看A域中都有哪些域成员。(IP直接ping下就知道,记录下TTL值,猜测系统版本)
dsquery server -o rdn (不清楚的可以nslookup A.com或者net group “domain controllers”,这些命令在域环境下执行)

可以看出本机为域控制器,那么得到domain admins权限就可以控制A域了,这里经过测试发现domain users权限的用户可以添加domain admins组的用户,直接net group “domain admins” xx /add就可以控制A域了(还是扯下吧,xx用户属于domain users跟administrators组,而administrators组加入了domain admins组 over),这里不建议添加用户之类的.因为这样很容易被发现,导致权限丢失。之前抓的系统hash部分密码用彩虹表破解出来了,我们用这些密码登录A域 中的其他机器试试,这里以截图为目的。
先敲下命令 看哪些用户加入了domain admins和domain users组:

插入一点:http://technet.microsoft.com/zh-cn/library/aa291270
这里只有administrator一个域管理,密码没破出来,大家可以hash注入整整。用domain users组权限的用户登录终端看看

好了 运气不错 用户存在 另一台host看IP就知道也是本机了 这里A域下的机器就先到这里,下面看看怎么渗透其他域。

渗透其他域下机器

轻松搞定WORKGROUP下机器

net view /domain:WORKGROUP

这里有两台机器 workgroup里的机器是不属于域的 比如a b c三台机器 a加入了A域,那么workgroup就剩b c两台了,纯属屌丝个人理解。 先看看41这台 直接mstsc连上3389发现不行 各种猜测就别想了 这里之前从A域中的机器得知 有安装开启过vnc,telnet了下41 发现开启了 那么直接找到vnc密码连下试试,翻了下从C:\Program Files\uvnc bvba\UltraVnc\ultravnc.ini中找到了密码hash

破解后用vnc连接工具连上41 输入破解出来的密码(当然可以不破用那啥工具来着..)很幸运 来张图:

这是台xp的 桌面还有安装好驱动的hp打印机 IP为204 应该属于员工机器

还有台57 直接mstsc连上 出现一个user用户 这里猜了几次密码 密码为连接vnc的密码(前面机器收集的多个vnc密码) 进去后此用户是管理员权限

收集下sa密码就撤了 回头用菜刀连一句话操作数据库方便 接着往下看…

渗透B域下的机器

net view /domain:B

如果ping不通 可以查看下路由表 route print 一下:

都处于同一个内网 那么有木有可能管理的用户密码都一样了 … 经过测试 用破出来用户密码跟mimikaz(这作者公布了源码 国内也有人给逆出来了 都是大牛啊)读出的明文测试登录都失败了 是这里有个用户b******z跟B域的名称是一样的 这之间肯定是有联系的. 咱们回头在翻翻之前的机器 部分机器安装了FileZilla客户端 找找FileZilla的帐号密码看看. C:\Documents and Settings\Administrator\Application Data这个目录存储些应用程序的配置信息 这里直接给出地址:

那么这个ftp的内网地址多少呢 扫了下内网IP的端口 发现开21的就几台 一个个测试后 确定此ftp就是B域下的192.168.100.101,那么这是台啥机器呢,打开80端口看看 如图:

是台Dlink路由器 而网关100.1是sonicwall 我们看看ftp里面能找到什么可用的信息 从rar里找到了web.config文件 有个数据库连接地址为192.168.21.10的IP,发现可以ping通 telnet开放了21跟3389 用数据库帐号密码猜测登录了ftp 发现没啥可利用的. 在webshell里链接mssql得到sa权限(注意大小写,这里纠结了会)

先看看服务器基本信息 篇幅原因 我就不贴太多.

一波未平一波又起

ipconfig /all

存在域 192.168.21.x段的内网 . dsquery server -o rdn了解到只有一台域控而且就是本机(这年头踩狗屎滴人特别多)来看看有几个域
net view /domain

本机处在HG**域里 看看有多少台机器 如图:

MS**域
[EXEC master..xp_cmdshell ‘net view /domain:MS**’]
Server Name Remark
——————————————————————————-
\\ZE****X
The command completed successfully.
这3389的密码没有猜出来 net user有个把账户存在但是没破出密码 本来直接添加个domain admins用户 可whoami发现权限处在domain users组里 这回权限只存在此组里 其他别多想. 有了sa 先dir下看看都安全了什么软件 发现了FileZilla server版 之前都是client版没啥用,这个server版可以提权的

type读出FileZilla Server Interface.xml
EXEC master..xp_cmdshell ‘type c:\”Program Files (x86)\FileZilla Server\FileZilla Server Interface.xml”‘

密码跟ftp用户密码一样 FileZilla Server提权这里要注意版本的问题 不然也成功不了 出错如:

Protocol warning: Server version mismatch: Server version is 0.9.55.0, interface version is 0.9.65.0
Protocol error: Protocol version mismatch: Server protocol version is 0.1.11.0, interface protocol version is 0.1.13.0
Connection to server closed.

lcx转发本地监听成功添加了一个对c盘的操作权限,但是替换sethc还是木有权限 不解释. 翻了下用户目录发现有个用户存在于之前所拿的机器中 通过之前的hash破解了此用户 但登录上去还是domain users权限. net group “domain computers” 如图:

其实扫了下21 1433 3389 5900端口,发现都开了vnc端口 直接连接用之前收集到的3个vnc密码测试均可以拿下 这个段的基本都是员工机器 vnc连上能看到有的在敲代码写.net 有的还在发email 有的好像是收银的界面 另个域机器都在这内网段 这里就不蛋疼的截图了.但是域管理员权限还没拿到 大伙们可以试试win2k8提权工具搞搞 这里略.

截稿

为啥不继续了呢 因为上面在web.config找了一个新的内网段21.x 这里我又翻了下在一个rar压缩包了找到了web.config里有N个内网段

好吧 扫了下存活机器挺多 数据库密码都一样 也有几个域 还有前面的域net group “domain computers”一下还有很多机器 都省略 方法跟上面都差不多 就不继续了(回头俺自己整) 文章主要跟着思路走 这里arp -a和查看路由表都没发现存在其他内网段 但从web.config里发现了新大陆 细心点会有很多发现 这个B域2台win2k8和一个dlink,win2k8用上面破出来的密码可以登录 但权限也是domain users组,篇幅原因 不多写 东西都在我的txt里 因为我后面还有几个内网域跟linux内网的文章没写 这里不花太多时间了 thx.

link:http://www.pentesting.cc/on-some-hotel-internal-network-domain-infiltration-cases.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。