目标域名:www.xyz.com
目的:渗透整个内网 拿下域控
收集信息:
访问网站www.xyz.com发现站点时静态的,也没有什么登陆口,服务器用的是IIS6.0。Ping出此域名ip:111.111.111.111 在ip866上面查询了下,只绑定了这一个站,看来旁注也没希望。顺便查询了一下域名Whiose信息,得到一个域名注册邮箱[email protected],域名所有者,管理联系人等信息。查询了一下ip地址范围和管理机构国家、NS记录等。
整理了下信息,继续扫描了下这个网段,几乎都开了80端口,很多同样模板的网站,都是其他公司或企业的。猜想估计这是个托管服务器了,而且和内网的联系甚少。即使拿下来可能也很难渗透到内网。
然后把目标转向了邮件服务器,在网上查询了下MX记录,得到一个邮件服务器地址:mail.xyz.com,Ping出其ip为 222.222.222.222,感觉和WEB服务器的ip没一点关系。扫描了一下邮件服务器所在的网段的ip,发现开80端口的ip很少,而且有几个是 路由器,其中一台有snmp弱口令”public”,ip为222.222.222.221。用IP Network Browser,扫描出此路由器的一些信息,得到其中管理员联系邮箱[email protected]。 由此猜想这就是目标内网所在的外网ip段了。访问域名mail.xyz.com,地址跳转到owa.xyz.com,而且出现Exchange Web Access的登录界面。Ping出owa.xyz.com的ip为222.222.222.223。最近Exchange 2007也没有什么漏洞可用。本来想说从这个网段的其他机器入手,嗅探一下路由器密码或者邮件密码,结果此网段开了web服务器和3389端口的机器基本 没几个,暂时先不走这条路。
社工邮箱:
既然找到了邮件服务器而且又是Exchange Server,那就先试试发表单钓鱼邮件社工几个用户来登录看看。回到ww.xyz.com的WEB页面,在“contact us”的页面中找到几个@xyz.com的邮件地址。瞬间拿出发匿名邮件的工具,做了一个钓鱼页面,加上表单,大概内容就是你的邮箱因什么什么原因将停止 使用,请在下面的输入你的账户和密码进行验证。很不幸,发送时都显示该用户不存在,主站上公布的邮箱怎么可能不存在呢?杯具(后面经证实确实不存在)。只 能用google多收集点邮箱了,突然灵光一闪,我手上正有Hotmail的XSS,如果能钓到几个内部员工的hotmail的邮箱说不定还有用。然后就 是用关键字mail “@xyz.com” “@hotmail.com”在google里面一阵狂翻,运气不错 真收集到10多个相关hotmail邮箱,怎么知道这个hotmail邮箱就是我的目标的员工的呢,这个大家可以多想想。收集好了之后,就是发钓鱼邮件, 等待鱼儿上钩。
二天过后…
查看收信的地址URL地址,已经有2、3个密码了,嗯嗯,还不错。瞬间登录进去,看了下邮件都是E文的,大概都是些工作信件,而且大多带附件,为以 后发马奠定了基础。看了下联系人有很多@xyz.com的邮件地址。更加确定这个邮箱的主人是目标内部员工的邮箱,把联系人导出继续发钓鱼邮件社工。在这 里挑出了一些@xyz.com的邮件地址来发嵌入表单钓鱼邮件,提示发送成功,看来之前收集的地址确实是不存在的。
又是两天过后…
@hotmail.com和@xyz.com的邮箱密码都有了新的。用得到的@xyz.com的密码登录到mail.xyz.com,没有提示密码错误, 但是很奇怪,跳转之后却出错了,看不到邮件内容,难道是ip限制?嗯~~ 现在已经有了差不多10个邮件密码了,但是mail.xyz.com登录不进去就只有发木马了,配置了一款免杀马,用得到的@hotmail.com的邮 箱给@xyz.com的邮箱发马。发附件马是迫不得已的,一是怕暴露,二是怕内网限制太BT马儿从内网中穿不出来。
内网渗透:
等了两天不见上线,第三天远控提示有新主机上线,哈哈,终于来了~马上用远控开了一个cmdshell执行ipconfig /all 嗯 不错 确实是处于内网的员工机器,
内网ip为10.10.2.2 有一个外网ip 122.122.122.122,很奇怪员工的机器有两块网卡,有块网卡分配了一个外网ip 有个网卡是内网ip,难道是拨号上网?或者是vpn?不管了,继续
所处域为xyz.com
dns服务器为:10.10.2.5(多半就是域控)
net localgroup administrators 发现用户将登录本机的域账户加入到管理员组的
net view /domain
显示有三个域
net view
看了下 域中机器很多
Oh~Oh~终于打开了突破口。接下来的目标就是域控了。上传gsecdump.exe到肉鸡抓了下hash,在线破解很快就破解出来了,可惜只是普通域 账户权限,用这个账户密码与建立10.10.2.5\ipc$连接,提示没有权限。同时gsecdump.exe也抓到了本地管理员密码,用本地管理员登 录与建立10.10.2.5\ipc$连接 提示密码错误。用本地管理员与其他员工机器建立ipc$连接,提示成功看来本地管理员密码在员工机器中应该是通用的。
直接拿域控可能有点困难,把注意力集中到内网中的web服务器,管理员总会登录内网中的服务器进行维护吧。继续查看nei view返回的内容,发现有个\\xyznetnews的机器很像是内网服务器,ip为10.10.5.5上传lcx到肉鸡,直接转发10.10.5.5 的80端口出来到的另一台外网肉鸡220.220.220.220的388端口上面,我在本地浏览http://220.220.220.220:3388就 可以访问到这台内网中服务器开放的web服务了。果然,80端口开放了web服务,但是没什么漏洞,接着试了/phpmyadmin /admin /login等目录,在试phpmyadmin目录的时候 直接就进去了,看来管理员没有设置mysql密码啊。接着导出小马,拿出菜刀,连上去,执行命令,哈哈~系统权限,上传gsecdump.exe抓 hash 抓出的都是无用的hash,估计密码超出14位了。接着上传Winlogonhack记录登录密码。第二天,无密码,不能再等了,直接关机, 第三天,密码有了。但不是域管理员账户,拿着密码登录域控,登录成功,搞定,不过很纳闷,net group “domain admins”并没有发现整个账户但是为什么可以登录域控呢,而且可以加任意账户到domain admins组。
到此拿到域控,整个内网基本就ok了。