燈火互聯
管理員
管理員
  • 注冊日期2011-07-27
  • 發帖數41641
  • QQ
  • 火幣40943枚
  • 粉絲1085
  • 關注100
  • 終身成就獎
  • 最愛沙發
  • 忠實會員
  • 灌水天才獎
  • 貼圖大師獎
  • 原創先鋒獎
  • 特殊貢獻獎
  • 宣傳大使獎
  • 優秀斑竹獎
  • 社區明星
閱讀:2558回復:0

內網滲透:破解管理員的空格密碼

樓主#
更多 發布于:2015-01-28 13:38

前言 一客戶,指定要給其公司做安全測試可從網絡層面做,也可以人肉社工 :) 對于一個小清新來說,怎么可以做人肉社工呢,要是把對方公司的妹子騙走怎么辦,于是果斷交給單身的同事去做了,自己默默的看站,客戶扔過來的一個域名,域名是a.com,其他什么信息

前言

一客戶,指定要給其公司做安全測試可從網絡層面做,也可以人肉社工 :) 對于一個小清新來說,怎么可以做人肉社工呢,要是把對方公司的妹子騙走怎么辦,于是果斷交給單身的同事去做了,自己默默的看站,客戶扔過來的一個域名,域名是a.com,其他什么信息都沒有。

信息收集

google搜了下,得到了一批二級域名;開起kali用fierce來一輪域名枚舉,成功枚舉出某域名下的子域名列表。

圖片:485175.png

可 以看到郵件服務器的域名是mail.a.com,采用微軟的exchange所搭建。再用Nslookup看了下mx記錄,發現是smtp1.a.com,smtp2.a.com,也就是說目標郵件服務器不是用的騰訊或者谷歌之類的企業郵箱,而是他們自己的郵件服務器。因為一般這種情況下郵件服務器所在的ip地址段就是目標公司真實的ip地址段。于是剔除掉不在其ip段的域名,將目標鎖定在mail.a.com所在的網段開始一系列的掃描。

內網滲透

經過一輪前端掃描,成功的掃到一個存在漏洞的二級域名,姑且稱其為vulnerable.a.com。該網站用wordpress所搭建,但是由于管理員的疏忽,在網站其中的一個文件夾還搭建了另一套測試系統,該系統在安全防護上較為薄弱,因此通過sql注入跨庫查詢到wordpress管理員帳號密碼,成功登錄到網站后臺。由于wordpress后臺拿webshell網上有不少教程了,這里就不再贅述。拿到webshell之后執行了下whoami命令發現權限是nt authoritysystem,估計是管理員疏忽沒有做降權操作。

得到了webshell,首先看看內網是什么結構,net time /domain看了下,沒有回顯;ipconfig /all得到如下結果。

圖片:454887.png

Net view 查看下周邊機器情況得到如下結果,目測是工作組環境了

圖片:993076.png

但是Exchange是基于域來搭建的,已經拿下來的這臺網站服務器所處的環境是工作組,經過進一步的分析發現這幾臺內網服務器并沒有涉及到目標的核心服務,因此初步判定網站服務器位于目標內網的DMZ區。繼續搜集各種信息,首先netstat -ano看一下端口連接情況,很意外的發現有幾個內網IP連接了過來,另一方面服務器連接到了內網一個IP的1433端口。姑且不去分析管理員到底在這臺 服務器上做了什么操作,但是能肯定的是內網的訪問控制肯定沒做好。一般來說,當規劃一個擁有DMZ的網絡時候,DMZ訪問內網要有限制,否則當入侵者攻陷 DMZ時,就可以進一步進攻到內網的重要數據。接著net start命令查看服務器開了什么服務,發現服務器用的殺軟是金山毒霸。立刻著手免殺了個htran丟上去做個socks5代理方便下一步的滲透工作,經過掃描發現內網存在幾臺開了1433端口的服務器,習慣性的用sa用戶名123456作為密碼成功的連接上了其中一臺數據庫服務器。執行了一系列的命令后發現,主要的服務器都部署在域當中。

屢屢受挫

很不幸在數據庫服務器上沒有抓取到域管理員的哈希,只得到了一個普通域成員密碼。通過這個普通成員的密碼嘗試登錄內網的其他機器,在某臺機器上居然抓到了其中一個域管理的哈希,當時很興奮的嘗試用破出來的管理員密碼去登錄域控,很可惜登錄失敗了。Net user 后發現管理員在一個月前修改過密碼。所以抓到的這個歷史密碼也毫無意義了。期間嘗試過可能會出現的密碼組合以及管理員的習慣去加以嘗試,均以失敗告終。因為在內網踩點時得知域控服務器是Windows2008,因此嘗試用Windows GPP安全問題去碰碰運氣,結果域管理員根本就沒有設置過組策略,也沒有設置過什么登錄腳本,因此這條路子就此夭折。又經過了半個月的測試,一天,不知道是什么原因引起管理員的注意,管理員在清理掉了我的webshell之后還在網絡邊界安裝了個waf,導致無論是中國菜刀還是K8飛刀,只要有post過去的敏感數據都被重置連接了,這一時半會也找不到什么好的替代品,只能重新找個大馬湊合著用。另一方面waf還定義的很多狗血的規則,一旦在web服務器上上傳了大小超過100K的文件就會提示數據包長度超出,一時間滲透的思路就斷了。

希望之光

遇到這種情況就應該吃根辣條冷靜下。雖然大馬在用起來有諸多不便,但是管理員還是沒把權限降下來,webshell依舊是system權限;嘗試連接內網的數據庫服務器,sa密碼也沒有更改。但是socks5代理已經無法正常使用,估計是內網也做了一定的安全防護。于是著手寫個VBS腳本去連接內網的那臺數據庫服務器來執行域命令。看了下之前被我關掉的那臺服務器還是沒開起來……再次使用net user 命令查看域管理員的信息,幾天下來發現管理員登錄次數還是很頻繁的,看來還是只能通過蹲點碰運氣去抓管理員的哈希了。此時因為不能輕易登錄域內其他服務器 導致打草驚蛇,因此用一個更簡單的方法去刺探管理員是否登錄某臺域內服務器。在命令提示符下輸入“Tasklist /s x.x.x.x /u username /p password /v”(不包括引號)即可查看到IP地址為x.x.x.x 的遠程系統的進程。/u后指Tasklist命令使用的用戶賬號,它必須是遠程系統上的一個合法賬號,/p后的“password ”指的是該用戶的密碼。寫一個批處理,定時的對可以登錄的域內服務器去跑,查看管理員是否曾經登錄過,經過了漫長的等待,終于得到了回報,發現其中一臺服務器上有域管理員登錄過

圖片:437258.png

當時馬上操家伙上去把哈希抓了,破解后嘗試登錄域控。但現實是殘酷的,還是提示登錄錯誤!抱著絕望的心態再次net user查看了下管理員的信息,發現管理員在一天前剛修改了密碼。雖然結局很悲傷,但是值得欣慰的是這個辦法是有效的,只要堅持不懈就能成功的搞定域管理員。

幾近崩潰

又是一段漫長的等待,某天又在另一臺域內服務器看到了類似上圖的結果,抱著崩潰的心情再次去抓取了管理員哈希,破解后登錄域控制器,結果還是提示密碼錯誤。但是這次的結果很蹊蹺,我反復的查詢發現管理員在這段期間并沒有修改密碼。但是為什么無法登錄就不得而知了。后來和朋友聊到這個事情,他說既然搞不定,就先放放聊聊說不定有思路呢,來聊點開心的,前些日子他說他惡搞了一個他討厭的人,那娃通過社工得到了對方的論壇密碼,然后很邪惡的修改密碼在其原始密碼處加了兩個空格,因為那個論壇在找回密碼的時候是會把密碼發送到注冊郵箱的,不提供直接修改密碼的功能。因此這招非常的陰險,一般人來說怎么會注意到密碼后面多了幾個空格呢。

峰回路轉

這陰損招數倒是提醒了我,因為我在最后一次抓哈希的時候,我很確定對方管理員在期間是沒有修改過密碼的,所以破出來的密碼應該是不存在任何問題。難道是管理員在密碼后加有空格!果然,我仔細的觀察了在那在線破解哈希的網站所破出來的密碼后,后邊居然跟了3個空格!拿著這個逗比密碼,成功的登錄了域控,抓到了所有人的哈希,整個滲透終于告一段落。最后得出個結論:如果不夠細心,就算幸運之神眷顧了自己,還是無法獲得成功的。Game over。

[[email protected]]


喜歡0 評分0
游客

返回頂部
广东体彩26选5