在进行存在内网的网络渗透中,有多种思路,本文介绍一种社工+边界的渗透思路。也即通过社工库去搜集目标的邮箱信息,公司员工会使用公司邮箱地址在互联网上的站点上进行注册,后面由于这些站点被黑,这些站点保护注册信息的库被逐个整理到社工库里面,普通人有可能会设置注册用户密码跟邮箱密码一致,因此通过社工库获取其邮箱明文密码或者加密密码,可以进行登录尝试,一旦成功获取Mail登录权限,则可以进行以下操作:
(1)获取公司组织信息,获取公司组织和个人通讯录。
(2)使用通讯录进行top 10000密码暴力破解。
(3)对IT运维等重点部门邮箱密码进行收集整理,暴力破解。
(4)钓鱼攻击,可以通过XSS以及钓鱼攻击,获取真正的密码。
(5)发送NDay攻击。
(6)登录邮箱,获取公司有关VPN、服务器密码、CMS系统登录密码以及地址等敏感信息。
注意:国家出台了安全法加大了对非法侵犯个人隐私等数据的犯罪打击力度,目前很多公开社工库已经关闭或者被打击。
1.1.1社工攻击获取VPN账号
1.社工信息收集
通过公开社工库对关键字目标网站“s*****.com”在公开社工库中进行搜索,结果出来200多个带邮箱地址及密码的记录,对其进行整理,然后逐个进行密码验证,结果其中有十几个邮箱可以使用。还可以利用搜索出来的密码,对邮箱地址进行反查,使用相同密码的私人邮箱里面有时候会有很多有用的信息。
图1对关键字进行社工库检索
2.获取vpn账号及密码
逐个账号登录邮箱进行查看,其中某一个邮箱内获取一个VPN账号,在Windows2003中创建VPN连接,经过测试,成功连接IP地址111.204.***.135,如图2所示。分配的内网地址为192.168.4.100。
图2通过vpn连接拨入内网
1.1.1内网信息收集及扫描
1.对内网IP地址进行收集及分析
通过连接的入口知道内网IP地址为192.168.4.100,说明该网络肯定还存在其它网络,VPN拨入分别为192.168.4.X,其DNS为外网地址。
2.对内网端口进行扫描
使用iisput scanner对内网敏感端口进行扫描。如图3所示,设置起始IP地址为192.168.0.1,结束地址为192.168.7.255,端口选择80,3389,3306,1433,8080等。
图3对敏感端口进行扫描
1.1.3对内网进行扫描及漏洞攻击
1.对内网SQL Server进行溢出攻击
使用MySQLSrv 8.0.194 AutoAttack攻击对192.168.0.1-192.168.255.255进行自动扫描攻击,如图4所示,虽然没有结果,但通过其扫描的日志文件,获取了大量的MSSQL服务器地址。MSSQL 8.0.194版本也即SQL Server 2000存在远程溢出,不过现在内网已经很少用该版本了。
图4对MSSQL进行远程溢出攻击
2.整理MSSQL服务器地址
通过查看上面的扫描结果文件,如图5可以看到MSSQL服务器集中在192.168.5.x和192.168.7.X地址,对这些地址进行整理,仅仅保留IP地址。
图5获取SQL Server 数据库服务器IP地址
3.分析SQL Server数据库版本号和版本
对比SQL Server版本号,获取该内网环境中的SQL Server 2000有2台,SQL Server 2005有5台,SQL Server 2008有10台,SQL Server2014有2台,SQL Server版本对应关系如图6所示,网络中存在SQL Server 2008以下版本,搞渗透的都知道,有机会获取服务器权限。
图6SQL Server 版本号和版本对应关系
4.使用hscan对内网MSSQL进行弱口令扫描
通过hscan对内网MSSQL进行弱口令扫描,很快获取了几台SQL Server用户名和密码均为sa的服务器。
5.提权MSSQL服务器
使用SQL Tools对扫描结果进行提权,直接添加用户,通过“tasklist /svc”以及“netstat -ano | find 端口号”成功获取192.168.7.43服务器的远程3389端口为33777,使用添加到密码成功登录该服务器,如图7所示。再下载wce工具,通过wce -w命令直接获取该机登录的明文密码。
图7登录内网服务器
1.1.4对内网进行循环口令扫描
1.对内网进行口令扫描
将密码f7s#s1x)及s×××××om、S×××××om添加到NTScan中的密码字典中,用户字典也加入192.168.7.43服务器上获取的用户名,如图8所示,迅速扩大战果,获取了20余台内网服务器Adiminsitrator权限。
图8对内网进行口令扫描
2.逐个登录获取口令的服务器
对上面成功扫描出口令的服务器进行逐个登录,如图8所示,登录后,使用net user命令查看服务器上存在哪些用户,然后继续通过wce -w获取明文密码,以及获取该服务器上其它账号密码,完善用户名字典和密码字典。
图8继续查看服务器账号
3.再次进行扫描
使用获取的密码对192.168.5.1-254进行密码扫描,如图9所示,成功获取多台服务器除Administrator外的用户。可以使用这些用户登录服务器,然后循环获取其Administrator及其它未不相同账号和密码,继续完善字典和后续扫描。
图9继续扫描内网口令
1.1.5渗透总结与防范
1.渗透总结
通过前面的渗透,掌握了内网多台服务器权限,这些服务器有代码服务器、数据库服务器以及其它服务器等。本次渗透着重在社工邮箱获取边界权限后,通过扫描数据库口令并提权来取得突破。在实际内网渗透中,有可能数据库口令不是弱口令,但CMS系统一定会存在弱口令或者漏洞,利用CMS系统获取Webshell,然后再提权,获取服务器权限,继续进行口令扫描,循环进行服务器账号以及密码获取,扩大战果。
2.安全防范
加强邮件安全,建议通过token认证,重要信息必须加密存储,且登录邮箱必须手机短信验证。
閱讀更多 小兵搞安全 的文章
