分类 ANONYMOUS 下的文章

护网结束,各个单位彷如劫后余生开始收拾这无硝烟战火的断壁残垣,有人欢喜有人忧,护网期间防守方不惜人力7*24值守在内外网的出入通道上,一有可疑的风吹草动,便封堵访问的IP,稍过的便将相关服务下电处置(非核心业务),少不了被网友调侃防守方防御太过,防御方之所以防御过激,那是因为他们心知肚明,一旦被攻进内网,那便防无可防,那便毫无退路。当然值得肯定的是外网安全逐渐完善,从本次护网行动攻击队的画风一改往日便一览无余,因此内网的安全刻不容缓,刚好上周斗哥有幸去某地市能源企业展开一次安全巡检,并且对该单位的内网进行了内网渗透攻击,于是便有了本篇分享。

之前斗哥接触的都是针对某个单独站点的完整渗透测试,或者大量无关联资产的漏洞快速挖掘,面对庞大的内网渗透还是比较少遇到的,内心还是有些小激动,于是周一当天便联系好同去的项目经理到达客户现场,该单位的安保还是较为完善的,办公大楼的进入需要员工卡才能出入,访客需要去门卫楼拿身份证登记,使用有次数限制的二维码进出办公大楼,在客户的带领下到达客户某信息化部门办公室,开始沟通安全巡检的细则,明确本次巡检的范围等。由于是在内网进行渗透,便和客户沟通使用自己的电脑接入内网进行渗透,由客户那边提供连接到内网的IP,于是客户便安排斗哥在会议室内开展本周的渗透测试,上午在调试好内网连接的IP以及拿到客户给的资产(主要是地市内网的渗透,不包括集团和省公司的服终端和服务器),然后便开始了进行安全巡检的玩耍啦~

巡检分5天时间,按照斗哥的计划是周一主要是常规的巡检工作,周二到周四主要是内网渗透,周五就是收尾、截图整理巡检报告等工作。

本次巡检分为常规的安全巡检工作,抽查部分服务器网络设备进行配置检查等,另一个重点工作就是对内网进行渗透攻击,内网渗透的目的当然是拿服务器权限,拿下内网的控制权限,并且尽可能多得帮客户发现内网安全问题,简单来说就是要撸穿内网,不过内网的服务器有分为三六九等,普通的可能是办公网的主机,打印机,边缘的网络设备之类的的设备的权限,好一点的如何说存在敏感信息,账号密码的办公网终端主机,普通web系统服务器这类,高级一点的是拿下域控、堡垒机这类的能控制整个内网的设备。

内网渗透的终极目标是拿下内网的控制权限,如何达到这个目标过程中要做很多的尝试,尝试很多思路,直至达到我们想要的目的。不管如何达到我们内网权限控制的目标,信息收集都是我们的内网渗透的首要工作,在斗哥看来,信息搜集是贯穿整个渗透攻击过程的重要环节,搜集哪些信息、如何关联利用这些信息,这就取决于渗透攻击人员对信息的敏感度,积累的漏洞经验等。

由于时间紧任务重,在常规安全巡检的时候斗哥也同步使用nmap对内网存活的IP和端口的开放情况进行扫描,使用nessus对主机漏洞进行扫描,以及对内网外进行信息收集,当然内网最常见的还有永恒之蓝漏洞,于是斗哥便寄希望于通过永恒之蓝漏洞来撕开内网渗透的口子,废话不多说直接上工具脚本进行测试,但是天不遂人愿,内网居然没有永恒之蓝的漏洞,不科学啊!为此斗哥只能放弃这条思路,寻找其他突破点。

由于斗哥是内网授权测试,因此考虑利用ARP欺骗的原理对内网进行嗅探,看能不能嗅探到内网一些敏感信息,这里斗哥使用的是kali下ettercap进行敏感信息嗅探,由于允许斗哥接入的办公网存活的主机并不多,有由于ARP欺骗攻击无法跨网段,也有可能嗅探的时间点不没掐好,总之斗哥没有探测有有价值的信息,该思路就在只能暂且挂起。

1.png

等待扫描结束,斗哥发现内网有大量主机开放了21、22、139、445、1433、3389、3306、80等端口,于是斗哥的第一想法是对21、22、3389、3306等端口先用常见的弱口令字典去进行爆破,同时斗哥对相关的端口进行访问以便进一步搜集内网相关信息,发现了有些IP地址开放的21端口存在非授权访问,其中大部分是打印机的ftp端口,暂时没有找到很好的突破口。

这时候部分nessus的扫描进程扫描结束,于是便先来看看是否有扫描出可以直接利用的主机漏洞,中间件,数据库等类型的漏洞啥,由于客户给斗哥的资产大部分属于办公网的终端主机,服务器只给了8个IP地址(上面的web应用是类似于北信源的桌面管理系统、海康、大华这类的监控管理系统等web的登录页面,按斗哥的经验,这类系统没啥搞头,除非有0DAY,只能先放着),因此斗哥的大概思路是想说先想办法拿到一台终端主机,然后再进行后续攻击。

扫描完毕,通过查看nessus的扫描报告,斗哥发现内网终端主机私自搭建web服务导致该主机上面的所有目录可非授权访问,通过浏览访问斗哥才发现原来是终端客户安装了everthing软件,并且启用了ftp和http服务,借助于everthing强大的搜索功能,感觉能翻到很多有价值的信息~~~

2.png

于此同时斗哥还发现该主机竟然还开放了3389端口,大家都知道windows的密码hash保存在sam文件中,于是斗哥便想到通过下载sam文件,获取hash解密,然后通过3389远程桌面登录这台主机,然鹅理想很美好,现实很骨感。ftp和http访问下都没有下载sam文件的权限,无奈只能放弃该思路,再寻找其他突破点。

3.png

4.png

此路不通,只能继续翻翻看,看是否有其他有价值的信息,在everthing上通过搜索密码,发现有多个记录密码的txt文件,果断访问之,得到了一些网站,以及网站对应的密码,发现大部分密码被修改过,并且部分网站属于省公司集团的资产,不属于本地市的内网渗透范围,遂只能另寻他路。

5.png

另一方面斗哥用kali下自带的hydra在内网对3389、22端口爆破毫无进展,导致斗哥严重怀疑用了假的工具,于是在本地进行测试一下,发现确实不能爆破,初步判断可能是因为虚拟机上使用的kali的hydra与windows的3389远程登录协议不兼容的问题吧,于是只能辗转使用hydra的windows版本,由于hydra只能对单个IP进行爆破,大佬便丢给斗哥一个专门的3389爆破工具,万事俱备只欠东风,爆破工具有了但是好的爆破字典能也是非常重要的,于是斗哥又回头去分析前期搜集的信息,密码规则等生成一个社工爆破字典再加上常见的弱口令字典进行爆破。

在3389和22端口爆破的时候,斗哥又根据客户给的资产里面针对服务器web这条路寻求突破口,翻了一遍下来都是一些登录的页面,账号不可猜测,账户和密码加密hash加密进行传输,还有错误锁定机制,大部分属于不好爆破的类型,只有一个web系统账号名可判断,因此判断存在admin账号,剩下就只能爆破,但是由于爆破的账号和密码需要加密进行爆破,比较消耗资源,因此斗哥暂且不考虑这个方法。

当然根据内网办公网扫描的端口80、8080等http协议的漏洞斗哥在访问的时候发现有tomcat中间件,于是想办法探测tomcat的版本号,然后上网查看对应版本号是否有可利用的未修复的漏洞等,同时其他的http的身份验证的接口,也同样进行了常见弱口令的爆破。

这时候斗哥爆破许久的3389终于有结果,还爆出不少账号,小激动的一番,果然信息搜集总能在出其不意的时候有神迹般的收效,于是斗哥便登录上去,发现其中大部分对应的办公网的主机,那么拿到终端主机的权限,斗哥的下一个目标就是要想办法拿到内网服务器的或者其他能控制其他内网更多主机权限的主机比如域控这类的服务器。

6.png

通过3389远程登录,斗哥发现办公网用户有很多用户登录了OA、邮箱等工作中常用到的系统,因此便想办法获取web系统的账号,然后登陆到对应的web系统在进行下一步的漏洞挖掘getshell提权,为了能快速获取浏览器上记录的账号密码,大佬又丢了一个工具给斗哥,于是斗哥便获取了浏览器上记住的账号密码,便尝试登陆到应用系统,因为对应的都是一些生产要使用系统,于是斗哥便向客户确认是否可以进行下一步渗透,无奈被客户告知是集团的系统不属于本次渗透范围,遂只能作罢。

于是斗哥又拿着获取到的账号密码去猜测最开始客户给斗哥的web系统的登录页面,还真是人生处处有惊喜一猜一个准,真的是开心到手舞足蹈,因此斗哥得出一个结论,一旦知道一个口令,那简直可以在内网横着走,因为整个内网使用的密码无外乎就那么一两个,虽然有些小夸张,但是整个内网安全与否看是不是防护最好的那个系统,而是最脆弱的那个短板,一旦被攻击者发现利用,就会殃及整个内网。

本次整个内网渗透就差不多这样结束,期间斗哥一直试图寻找域控,想要拿到内网更多的控制权限,后来回去后听大佬说正常域控都需要输入域名之类的再进行身份认证,而斗哥远程登录3389的时候根本不需要输入域名啥的,因此判断该内网可能不存在域控。

工具分享:
1.永恒之蓝:
2.EternalBlues
3.hydra8.1_win
4.3389爆破
链接: https://pan.baidu.com/s/1ydTXrpdRSRNlOmhZi23xCg 提取码: wx87
5.获取浏览器账号:
https://github.com/kalivim/Powershell_fisher

Win32k 组件无法正确处理内存中的对象时,Windows 中存在特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式中运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

1.png

下面就简单演示一下利用CVE-2019-0803漏洞简单提权,首先下载

CVE-2019-0803.zip

上传到win08虚拟机内,查看一下当前用户发现是普通用户无法建立新的用户。

2.png

把上传的CVE-2019-0803拖进cmd里,创建新用户zz

3.png

从结果上看已经显示创建成功,说明我们利用漏洞成功了!

4.png

714高炮指那些期限为7天或14天的高利息网络贷款,其包含高额的“砍头息”及“逾期费用”。714高炮基本上90%都是以7天期为主。利息方面年化利率基本上都超过了1500%

说明

以借贷为业的民间借贷合同无效,意味着所有714、小高炮、借条等网络高利贷,合同都是无效的,借款人就算逾期,就算不还款,因为合同无效,放贷人也无法起诉到法院。这对遭遇网络高利贷暴力催收的人来说,无疑是一个福音:既然你爆我通讯录,我就是不还款,有本事你去告呗?反正法院也不支持你!

调查

经过长期的摸排经验累积主要有以下几个部分组成

放款人(有经济实力雄厚的大佬) - 借贷人 公司(有经营牌照的 比如某信)- 渠道(推广 或者是 贷超平台) - 借贷人

代理商负责推广 - 每个新开客户(10-14)(14-18元)不等,如果客户申请贷款通过还有额外的红利可以拿,据我所知,做代理的几乎每天除去成本都可以赚几千。至于信息数据的来源就有待考究了。

这其中还涉及到前期的审核,例如收集通讯录,实时记载短信记录,以及后期的催收。暴力催收等违法行为。

漏洞合集

1.首先感谢各位大佬公布的漏洞 TP5 GETSHELL 以及 .NET 框架ueditor的漏洞 让在下搞了不少东西。
GOOGLE关键词一:- 新用户注册. 登录提现 inurl:/account/login

1.png

2.png

.NET ASPX ueditor1.4.3漏洞 主要漏洞出现在编辑器漏洞,在/Content/ueditor/ 存在百度编辑器的漏洞,无任何的补丁可以直接上传。

3.png

但是迄今为止,也就三天左右的时间已经大部分修复,应该是同一伙人或一个人搭建的站点。总站点统计有一百多个,权限几乎都掉完了。可见其中利润之大。

2.关键词: 立即 inurl:/register/channel/

4.png

此开发为TP5.0框架,直接进行POST写shell

5.png

borrow_amount = 借款金额
borrow_days = 借款天数
borrow_rate = 利率
overdue_rate = 逾期利率
collection_rate = 催收服务费费率(借款金额x%催收天数)
verify_fee = 信息认证费
insurance_fee = 保险服务费
interest_fee = 借款利息
borrow_servcie_fee = 借款手续费
account_manage_fee = 账户管理费
truely_amount = 实际到账金额
total_fee = 服务总费用
例如:
借款2000元,扣除总费用600,剩余1400,如此高额的手续费。

现在来说下继714之后新的玩法

在前段时间,摸索高利贷平台.发现了某系统。

6.png

这是一套基于UI框架二开的后台管理程序,结合了商城,H5推广,管理,具体的源码之前在GITHUB找到了,未保存。

7.png

所见即所得,通过查询特征发现一群网站,所搜集的通讯录号码有千万,涉及百万借贷人。管理也是人才,有钱,阿里开了五十多台服务器。

说明

对比之前的714是直接收取手续费用,现在的714是通过手机评估,以及购买手机收取手续费用.举个例子,你需要借款,必须购买手机,手机为一千元,你需要支付400元的鉴定费用,才可以拿到1000元的借款,变相的还是付出了400的利息。其本质还是高利贷。

根据网上的漏洞利用

<form action="http://xx/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
<p>shell addr:<input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>

通过对SHELL的比对,我得到了以下所有的信息
以47.xxx.xx.xx开头管理员总计开了大概有50台服务器作为高利贷推广放贷。

8.png

相同的框架相同的数据库密码,简称真香。。

结语

抛砖引玉,小弟放几个关键词容各位看官自由发挥。

GOOGLE
inurl:index/login/register.html 币 (区块链传销)
inurl:/index/login/respass.html 国际 (非法集资)
inurl:/loan/read/id/ (714借款)

FOFA
/static/index/js/lk/order.js (非法集资)
"/jslib-base/jquery-1.8.3.js" (贷后管理)
"/dev/static/index.css" (贷后管理)
"/css/ServerPage.css" (羔羊贷)