0x00 前言

本文简单记述了一下本人在某攻防演练过程中一次层层突破的有趣经历

技术性在攻防实战中虽然一般,但是层层突破的过程比较有意思,并用到了比较多的思路,因此分享给大家

0x01 SSO账号获取

由于目标是某大学,对外开放的服务基本上都是一些静态Web页面,没什么太多利用点

因此获取一个该大学的SSO账号就显得尤为重要~

本人使用该大学的域名、以及常见的搜索密码关键词,调用Github的api在Github中定位到了就读该大学的关键用户

image-20220618100944824

该同学安全意识较为薄弱,经常将账号密码硬编码在程序内,这正是我们苦苦寻觅的人才

image-20220618100922784

结合他在其他项目中硬编码的学号,我们成功利用他的学号+密码登陆该大学SSO系统和学生vpn系统

image-20220618101339023

image-20220618103125720

本来以为可以进驻内网了,结果发现学生VPN除了访问一些学术资源,啥也干不了

好在进去SSO了,那么后面接近靶标之路就会更加轻松,现在自然要把着力点放在SSO能访问到的系统漏洞挖掘上

0x02 某系统接口利用测试tips获取大量信息

走了一遍SSO能访问的系统

发现某项目申请处,可以搜索学校其他同学的信息

image-20220618101937376

如图,接口在流量中是这样表现的

我们利用一个测试tips,将其中的关键键置空,或者使用通配符*,发现可以成功返回全校三万多名学生的信息

image-20220618102208679

凭此成果,仅能得一点可怜的分数,还得继续来撸

我继续在系统重翻找接口,终于发现了一个可以搜索学校老师的接口

同样的使用刚刚的tips,在关键的键处置空键值或使用*,这次运气很好,返回的信息中,甚至出现了所有老师的工号和md5加密的密码

甚至包括sso管理员的密码。。。

image-20220618102809575

解了一下admin的密码,非常遗憾,解不开,不然游戏就直接结束了~

但我们现在掌握了大量老师的工号,密码(包括负责运维的老师),那么我们后面进驻内网的工作就会顺利很多

0x03 进驻DMZ区并获取内网跳板

我们做了很长时间的信息搜集,找到了该学校开放在外网给运维人员使用的DMZ区VPN

image-20220618103620549

image-20220618105819143

我们直接用刚刚获取到负责运维的老师的账号密码登录,发现一直不好使…

结果试了一下,发现密码竟然和工号是一致的….真是无语…

随后就成功接入了该学校DMZ区VPN

image-20220618103938618

进入DMZ区后,我们简单做了一下弱口令扫描探测,发现了一台SqlServer的弱口令

直接通过恢复执行xp_cmdshell,发现还是管理员权限

image-20220618104248653

但是列进程的时候发现了万恶的某60

image-20220618104339199

试了试自己之前的certutil下载文件绕过方法,因为之前交了360SRC,已经被修复了,TMD直接被拦

但是仔细一想,SqlServer中是存在LOL bin的,可以实现白利用执行powershell

LOL bin

C:\Program files (x86)\Microsoft SQL Server\xxx\Tools\Binn\SQLPS.exe
C:\Program files (x86)\Microsoft SQL Server\xxx\Tools\Binn\SQLPS.exe whoami

通过此姿势,成功上线CS

image-20220618104803788

如此一来,访问内网核心区的跳板就有了~

0x04 被踢出内网与收买学校内鬼

还没等开心一会,突然发现CS的进程已经被下掉了,并且DMZ区账号也被踢下线并改密码了

估计是目标机有主机安全设备,检测到了进程中的CS内存特征或流量特征。。。

线索全断,让人陷入了沉思,不过转念一想,内网代理套代理也是卡的要死,还不如想想办法如何直接获取内网核心区的访问权限

摸脑袋表情包

我们于是在咸鱼上开始寻找猎物,发现了就读于该大学的某学生

该学生咸鱼上挂的具体内容忘记截图了,大体意思是”我是xxx大学的学生,可以为大家提供xxx大学的有关帮助,考研,生活等等等,视难度收费10-50

我们直接加他联系方式,给他转了50。

话术如下

我:你好你好,我是xx大学的学生,现在在外面,回不去学校,想用下你的电脑,访问学校内的教务系统,给您50元答谢

对方:哦哦可以,你看看怎么整

我:你下个向日葵,然后把主机号和密码发给我就好

对方:okok

就这样,我们连上了这个二傻子的向日葵

image-20220618111131625

然后直接用他的cmd,把权限给到CS,做好权限维持

image-20220618110447005

image-20220618110346861

把隧道传出来,发现学生的PC竟然可以直接访问核心区。。。随后在内网又开始了扫描,撸了一些乱七八糟的系统,比如海康某设备的RCE,web系统的注入,网关等等东西,但都没法反弹shell。。

image-20220618111536680

当时又发现了一个SSH弱口令,可给我们高兴坏了,二话不说连过去

image-20220618111452695

当看到这一幕的时候,一身冷汗,因为非常清楚,自己踩到内网蜜罐了,又要寄了。。。

image-20220618105955678

果然不出20分钟,那位同学就发来了微信

image-20220618110022087

气煞我也,后面想继续用金钱收买,道了歉,说自己一不小心传错软件了,又给他转了20块钱,想再用一阵

可谁知

image-20220618112218432

image-20220618112348348

气煞我也,竟然不讲武德

img

0x05 近源渗透直捣黄龙

眼看着所有能通向内网核心区的路径全寄了,我们只能想办法出奇制胜,摇人去近源渗透

叫甲方派了了个人,混进学校内的图书馆,用之前获取到的学生sso账号接入校园网

image-20220618112848638

如此一来,我们就有了稳定且不易察觉的内网通道😂

接下来就是常规操作了,漏扫核心网段,发现了docker api未授权和vcenter的RCE

image-20220619004532359

可控制数十个镜像

image-20220619001950533

核心区VCenter存在CVE-2021-21972漏洞,可直接写入Webshell

image-20220619002143315

随后可利用Vcenter的shell权限实现cookie伪造

使用脚本

https://github.com/horizon3ai/vcenter_saml_login/blob/main/vcenter_saml_login.py

python3 vcenter_saml_login.py -t Vcenter内网ip -p data.mdb

data.mdb路径

windows:C:/ProgramData/VMware/vCenterServer/data/vmdird/data.mdb

linux:/storage/db/vmware-vmdir/data.mdb

使用生成的cookie进驻VCenter

分数刷满,润了~

0x06 末言

本文没有过多的技术性东西,主要是跟大家分享一下自己打攻防被”围追堵截“的经典案例,给奋斗在攻防一线的兄弟加油鼓劲

权限掉了,被踢出内网,莫要灰心气馁,见招拆招,才是攻防的乐趣所在