从公有云到渗透进内网漫游
0x01 前言
当一个企业把他的业务放到腾讯云或阿里云等公有云的时候,其是与企业的内网是不相通的,相当于逻辑隔离了(非物理隔离),如果企业信息安全做的相对较好,不暴露VPN地址或者路由器或防火墙业务,信息收集的时候,是很难进精准定位到企业的内网使用的公网地址的。这个时候,想要渗透内网相对困难。
下面就介绍一下我从公有云到渗透进内网进行漫游的实际渗透过程。
0x02 前期打点
怎样拿下云服务器的不是本文重点,故不做详细介绍,只简单介绍思路。
根据公司名字,直接百度,发现官网地址。根据官网地址,进行了一波信息收集:
- 发现站点使用了CDN,是腾讯云主机,ip是变化的,无法探测真实IP;
- 发现存在任意命令执行漏洞。直接RCE,拿下服务器权限;
先看下ip地址
发现显示的是内网地址,这个时候,查看下真实的ip,虽然这个对接下来的内网渗透没什么diao用。
到此才发现是腾讯云,主机不在内网。
0x03 想办法打内网
这个时候,我就要办法获取公司办公网的外网IP了,这个外网ip要么是防火墙的,要么是路由器的。怎么获取呢?我想到了一个办法,一般云主机,运维人员会通过ssh来进行管理,一般在上班时间,他们会连接进来,这个时候,就会获取到公司的真实公网IP。
教大家一个小技巧,如果是小公司,运维可能十天半个月都不会连上来,这个时候,我们就可以搞点“小破坏”,逼迫运维上线。
比如关闭它的web服务等等,大家千万注意两点:
- 动作不要太大,免得被运维发现被黑,当然你可以提前做权限维持,这里不做介绍;
- 没有“授权”,千万不要乱搞;没有授权,千万不要乱搞;没有授权,千万不要乱搞,否则就会进局子吃免费的饭了,咋不能干违法的事,哈哈。
[]
0x04 对上面的IP进行渗透
同样繁琐的事情来一波,信息收集。。。发现了shiro发序列化漏洞,直接反弹shell了
0x05 愉快的内网漫游
我这里使用了修改版的frp,利用远程加载配置文件的方式,稍微躲避一下,增加一点点溯源的难度:
攻击成功(这张图是后来补的,信息可能不一致,但原理一样)。
看下权限是system最高权限,省去提权了。
发现了这个,虚拟机备份,这个可以使用本地认证,有搞头。。。
还发现了群辉NAS
3台Vcenter,虚拟机超多呀,粗略看了一下,几百台。。。。全部可以接管了
0x06 总结
1.通过搜索目标公司名称,查询公司的官网地址,并进行信息收集,发信对应的IP存在CDN服务,无法获取到公司真实地址,且公司的子域名处存在远程命令执行漏洞,拿下服务器权限。
2.通过冰蝎远程连接,并执行命令查询ip地址(ifconfig),发现IP地址都是内网地址,以及公网地址,查询公网地址但还是腾讯云IP
3.需要获取到目标公司的出口公网地址,这里我们可以让目标站点进行WEB服务宕机以及异常(需要授权,如关闭服务以及导致WEB服务流量异常),那么运维人员就会登录堡垒机,并登陆到腾讯云主机进行查看WEB服务。
4.这时候可以查看网络连接,并获取到目标公司的出口公网地址
netstat -lantp | grep ESTABLISHED
5.通过信息收集,发现目标公司公网的IP某个端口出,存在shiro反序化漏洞
6.执行命令查看IP地址,发现目标是内网地址:10.10.10.187,并测试是否通外网
ping www.baidu.com
10.通过frp+Proxifier或者proxychains进行socks5代理,这里需要设置frp的密码以及简单加密
12.通过proxifier加载fscan对目标内网进行端口扫描,发现10.10.10.105存在ms17-010
13.通过proxychains加载msf运行,并使用ms17-010模块进行攻击,并mimikatz获取明文
msf>use exploit/windows/smb/ms17_010_eternalblue
msf>set rhosts 10.10.10.105
msf>run
meterpter>getuid //显示是system权限
meterpreter>load_kiwi //加载mimikatz
meterpreter>creds_wdigest //获取hash值
14.获取到了管理员的密码,发现开了3389,直接走proxifier的socks5代理登录远程桌面
15.进入系统后发现有虚拟机,虚拟机中使用本地认证,登录虚拟机后,发现是群辉NAS
16.在群辉NAS中有vmware vsphere,其中有3台vcenter
原文链接:
