弱口令惨案

开始

闲着无聊,在fofa上搜些奇怪的东西完,然后一个奇怪的东西引起了我的注意

QQ截图20201120181450.png
QQ截图20201120181450.png

重点是这次是一连好几个一起出现,我想着可能有好玩的了。就开始随手测试了起来

弱口令

一连七八个站,随手试试admin/admin,admin/123456这类密码,在我打开第二个站的时候成功进去了,界面是这样的

2.png
2.png

惯例,试图getshell,在节目编辑这里,我看到了一些奇怪的东西
3.png
3.png

这个jsp就十分的灵性,直接点击编辑,修改jsp代码,光速getshell
4.png
4.png

挖洞

getshell下来了,那么肯定垂涎其他站啊,毕竟好多站都是这个cms,而且里面还有这么多台机器。首先进数据库看了下用户。
很好,sha1加密,解得开的登不上,解不开的。。。那就解不开了

5.png
5.png

并没有什么通用密码,而且访问所有jsp都会跳转到首页,没办法,只好先去翻配置文件
6.png
6.png

直接暴露了个上传接口,lucky,二话不说打开看看
photo_2020-11-20_18-29-42.jpg
photo_2020-11-20_18-29-42.jpg

可以访问,不怕你安全性高,就怕你全部路由都需要验证。
立刻下载源码拉进ld-gui去审计看看
upload.jpg
upload.jpg

爷傻了,任意文件上传,只要带mp3在文件名任意位置就能上传任意格式的文件。
这时候我们再回到配置文件
7.png
7.png

只设置了jsp是要跳转。。然而你忘了jspx。。
于是乎
8.png
8.png

好的这套的控制器基本就全都拿下来了

反日小鸡--内网漫游

既然控制器都解决了,辣么接下来肯定是想办法日到小鸡了啊,毕竟这都是广告控制牌。十分的好玩。机器数量还不是一般的多

9.png
9.png

首先我们先看远端管理功能,发现了有些什么打开vnc/teamview这些功能
10.png
10.png

跟进源码发现
11.png
11.png

并没有什么软用,这时候我们把目标转向广告分发功能
image_2020-11-20_03-56-19.png
image_2020-11-20_03-56-19.png

发现了下载这个关键词,我们大胆猜测一下,虽然这个预览是本地显示jsp路径的,按照逻辑上来讲应该是远程访问这个地址然后加载广告,那么有了这个下载功能会不会是本地加载?
二话不说打个写个html下去
image_2020-11-20_03-56-45.png
image_2020-11-20_03-56-45.png

远程查看结果人家真的显示了html,辣么二话不说,打个xss下去
12.png
12.png

结果人家真tmd是本地jsp环境加载的。
直接写个反弹jsp的shell
fantanshell.png
fantanshell.png

上线成功
13.png
13.png

直接修cs里去

小鸡渗透

本来这时候应该先审计小鸡源码的然后先把小鸡都拿了,然鹅我看到了这玩意有域,就先搞起来了

yukong.png
yukong.png

先mimiktz读凭据,然后用cs自带的扫描器扫内网,目前手头只有一个凭据
pinju.png
pinju.png

然后用这个凭据批量登录
psexec.png
psexec.png

最后发现,只有同计算机名的机器上线了
tongwork.png
tongwork.png

进去看了下似乎都是广告机
之后,对着各个Ladon和各种工具走起,发现了10,11,40,50,150这些内网网段,初步计算下来,估计至少有500台。
使用MS17010先跨网段耍一耍。
无标题.png
无标题.png

随便日了几台
无标题2.png
无标题2.png

发现这似乎是有规律的,都是[a-z][a-z]mgr01开头的密码,这还不立刻SmbScan,然而手头机器拉跨,而且半夜机器会自动下线就很烦于是乎我就关机了。
然后第二天一打开
photo_2020-11-24_02-13-47.jpg
photo_2020-11-24_02-13-47.jpg

我淦,当场抓获,管理员tmd在杀毒。上了个MSE,虽然很好过,但是也对我们造成了不小麻烦。因为前几天都是用cs的小鸡直接打的估计有写管理机进得去但是正好被杀了于是乎被管理发现了。十分的烦。

然后我花了点时间好不容易整出个可持久化的免杀工具,也就是这个:https://github.com/9bie/shellcode

然后等我万事俱备再上线一看

photo_2020-11-24_02-16-33.jpg
photo_2020-11-24_02-16-33.jpg

tmd被管理员降权了,可恶。
photo_2020-11-24_02-17-03.jpg
photo_2020-11-24_02-17-03.jpg

wdnmd,不过最后好在隔壁217机器没被降权,继续用终端机下发了个马过去
photo_2020-11-24_02-18-02.jpg
photo_2020-11-24_02-18-02.jpg

然后机器又关机了
第二题,经过几天研究,在那么多ms17010中,我们发现除了10.8是08,其他都是win7并且都在域内后面带.LOCAL,于是乎我们怀疑10.8是关键服务器,然而除了第一次打进去之后掉线之外,这台服务器就再也没被我们打进去过。

九世, [28.11.20 02:10]
192.168.10.8 MS17-010 SHAREPINT  [Win 2008 R2 Standard 7600]
192.168.20.147 MS17-010 KS16POS47 kaohsiungtw.local [Win Embedded Standard 7601 SP 1]
192.168.20.119 MS17-010 KS16POS19 kaohsiungtw.local [Win Embedded Standard 7601 SP 1]
192.168.20.117 MS17-010 KS16POS17 kaohsiungtw.local [Win Embedded Standard 7601 SP 1]
192.168.20.110 MS17-010 KS16POS10 kaohsiungtw.local [Win Embedded Standard 7601 SP 1]
192.168.40.51 MS17-010 TCKIOSK01 tigercitytw.local [Win 10 Pro 10586]
192.168.40.52 MS17-010 TCKIOSK02 tigercitytw.local [Win 10 Pro 10586]
192.168.40.54 MS17-010 TCKIOSK04 tigercitytw.local [Win 10 Pro 10586]
192.168.40.102 MS17-010 TT10POS02 tigercitytw.local [Win Embedded Standard 7601 SP 1]
192.168.40.104 MS17-010 TT10POS04 tigercitytw.local [Win Embedded Standard 7601 SP 1]
192.168.40.106 MS17-010 TT10POS06 tigercitytw.local [Win Embedded Standard 7601 SP 1]
192.168.40.211 MS17-010 TCPLASMA01 tigercitytw.local [Win 7 Professional 7601 SP 1]
192.168.40.214 MS17-010 TCPLASMA04 tigercitytw.local [Win 7 Professional 7601 SP 1]
192.168.40.215 MS17-010 TCPLASMA05 tigercitytw.local [Win 7 Professional 7601 SP 1]
192.168.50.137 MS17-010 TN9POS37 tainantw.local [Win Embedded Standard 7601 SP 1]
192.168.50.136 MS17-010 TN9POS36 tainantw.local [Win Embedded Standard 7601 SP 1]
192.168.70.114 MS17-010 HS11POS14 hsinchutw.local [Win Embedded Standard 7601 SP 1]
192.168.70.112 MS17-010 HS11POS12 hsinchutw.local [Win Embedded Standard 7601 SP 1]
192.168.70.106 MS17-010 HS11POS06 hsinchutw.local [Win Embedded Standard 7601 SP 1]
192.168.70.104 MS17-010 HS11POS04 hsinchutw.local [Win Embedded Standard 7601 SP 1]
192.168.70.107 MS17-010 HS11POS07 hsinchutw.local [Win Embedded Standard 7601 SP 1]
192.168.70.235 MS17-010 MW1302T-728-PC  [??渀?漀?猀???倀?漀昀攀猀猀?漀渀愀氀??? ???攀?瘀?挀攀?倀愀挀欀??]
192.168.70.215 MS17-010 HSPLASMA05 hsinchutw.local [Win 7 Professional 7601 SP 1]
192.168.80.107 MS17-010 QSPOS07 QSQUARETW.LOCAL [Win Embedded Standard 7601 SP 1]
192.168.80.103 MS17-010 QSPOS03 QSQUARETW.LOCAL [Win Embedded Standard 7601 SP 1]
192.168.90.216 MS17-010 BQISHOW01  [Win 8.1 Pro 9600]
192.168.100.170 MS17-010 BCBIONB01 BigCitytw.local [Win 7 Professional 7601 SP 1]
192.168.100.144 MS17-010 BCPOS44 BigCitytw.local [Win Embedded Standard 7601 SP 1]
192.168.100.146 MS17-010 BCPOS46 BigCitytw.local [Win Embedded Standard 7601 SP 1]
192.168.110.128 MS17-010 TZPOS28 TaiZhongtw.local [Win Embedded Standard 7601 SP 1]
192.168.110.137 MS17-010 TZPOS37 TaiZhongtw.local [Win Embedded Standard 7601 SP 1]
192.168.120.117 MS17-010 NFPOS17 NanFangtw.local [Win Embedded Standard 7601 SP 1]
192.168.120.235 MS17-010 MW1302T-7A-PC  [Win 7 Professional 7601 SP 1]

一度怀疑是否是pipe管道被我们破坏了,甚至试图想用bluekeep(0708)把这服务器打蓝屏重启然后再用ms17-010进去。

直到今天终于又把这个打进去了。

photo_2020-11-28_04-06-55.jpg
photo_2020-11-28_04-06-55.jpg

这时候我们光速mimikatz和dumphash

2.jpg
2.jpg

收获凭据无数。这时候我们一看,administrator密码是P@ssword,典型弱口令。

我人傻了,我再也不小瞧爆破了,可以肯定的是,这个密码绝对在我的字典里,以前我非常小瞧爆破和弱口令,觉得这么傻的东西肯定不会有人设置,就算有人设置我也肯定遇不到,然而今天还是遇到了,下次绝对实现跑弱口令试试了,就因为这耽搁了好久。

既然关键服务器拿下了,那么其他就简单了,批量撞密码走起

piliang.jpg
piliang.jpg

好,登录
35.jpg
35.jpg

40.jpg
40.jpg

还有kvm

在桌面发现密码,以及mimikatz又抓出很多密码

36.jpg
36.jpg

37.jpg
37.jpg

并且这个用户直接是域管

用这个密码直接登录域控。

yukong.jpg
yukong.jpg

好,这个段的域控拿下了,抓了密码,基本都一样,最后怀疑所有域控密码都一样,随便试了几个,确实是这样。

同时看了下,这个域内其他机器,都是管理控制台中的其他广告机以及其他设备

所以可以宣告第二阶段任务暂时结束。内网基本可以任意漫游了。接下来九是第三阶段摸清拓扑和一些域外机器了,感觉那些机器肯定更有意思。

最后根据域内机器dns信息,我找到了这个段的官网

结合官网以及机器名来看,我们说不定能偷到电影或者在线陪看也说不定,

所以下个目标基本就是NAS和摄像头拉

摸清拓扑

未完待续

添加新评论

评论列表