目標資訊收集：

www.SecPulse.com [aa.bb.cc.138]主站gonghui.SecPulse.com [aa.bb.cc.146]工會網站iwf.SecPulse.com [aa.bb.cc.144] OA系統mail.SecPulse.com [aa.bb.cc.132]郵件系統meet.SecPulse.com [aa.bb.cc.135]會議系統uatmcms.SecPulse.com [aa.bb.cc.139]會員合規管理系統tradeweb1.SecPulse.com [aa.bb.dd.5]交易系統jy.SecPulse.com[aa.bb.dd.7]交易管理系統kpi.SecPulse.com [ee.ff.gg.137]總裁決策資訊平臺www.cms-SecPulse.com [ee.ff.gg.145]網上開戶系統update.SecPulse.com [ee.ff.gg.141]軟體更新系統https://ee.ff.gg.143會員業務支撐系統

注：為保證隱私功能變數名稱全部換成了SecPulse

目錄索引：

一、弱口令開篇

1、郵件系統：https://mail.SecPulse.com/

穀歌加the harvester收集到一些郵箱嘗試弱口令猜解c**r / 11111111k***u / 11111111xx***ngbu / 11111111

owa進去後分分鐘利用腳本獲取通訊錄和公司組織架構，為後續突破做更好準備。

2、OA系統：

https://iwf.SecPulse.com/

3、會員合規管理系統：

http://uatmcms.SecPulse.com

4、會議系統：

http://ee.ff.gg.137/

二、WEB淪陷

我做測試的第一件事就是分析網絡結構 找連接內網的段 根據ip分部情况，大概確定內網所在段。然後找某某目標開始入手 

很榮幸其中員工oa系統就是屬於內外網

https://iwf.SecPulse.com/iWorkflowPortal/弱口令成功登入

c*[email protected] / 12345678

https://iwf.SecPulse.com/iworkflowportal/HRreq/HRAflReq.aspx？ProcessGroupID=170&ProcessID=8&ProjectID=84&DepartmentID=6

員工請假申請處，用戶可上傳附件

經測試可以上傳cer、asa格式的webshell檔案：

還是使用菜刀一句話WEBSHELL但是需要用戶登錄驗證的

這裡有個菜刀小技巧

HTTP登入驗證SHELL地址這樣填http://user:[email protected]/server.asp用戶名密碼中的特殊字元可用URL編碼轉換。

此服務器在內網，鮮明的P496讓我不禁聯想到響亮的94P7

同時此服務器在域裏

由於系統補丁只打到2014年9月，利用2014年10月份提權漏洞<詳情參見安全脈搏：CrowdStrike發現Win64bit提權0day（CVE-2014-4113）>，成功獲得系統許可權。

抓取系統HASH和管理員明文密碼：

內網滲透：

查看OA系統設定檔，找到連接內網資料庫SA密碼：

Webshell中連接內網資料庫：

<name=“CapCenterDB”connectionString=“server=10.**.0.**0；DataSource=10.**.0.**0；InitialCatalog=CapitaWorkflowCenter；User ID=sa；Password=123456；>

過程中遇到一個網閘系統很多目標IP訪問都有IP限制的後來在OA資料庫裡面找到對應的SourceIP和DestIP以及允許的安全訪問的埠。

讀取OA資料庫中防火牆配寘相關資訊：

執行sql語句恢復XP_CMDSHELL存儲過程：

EXEC sp_configure 'show advanced options'，1；RECONFIGURE；EXEC sp_configure 'xp_cmdshell'，1；RECONFIGURE；

MSSQL2008恢復xp_cmdshell存儲過程成功，執行系統命令，顯示為network許可權。

這臺資料庫同樣在域裏

同樣系統補丁更新不及時，這裡利用2014年10月份的提權漏洞，成功提升為系統許可權

先和OA服務器建立ipc連接，用以從OA服務器拷貝提權工具到資料庫服務器：

EXEC master..xp_cmdshell 'net use \\10.**.1.100\ipc$ “Password01！” /user:“P496\Administrator”'

拷貝工具到內網資料庫服務器：

資料庫服務器提權並抓HASH

抓明文密碼

其中不乏有域管理員

域管理員有哪些呢？一條命令就看到了：

net group“domain admins”/domain

【此簡單命令只能在域內執行】

現在可以嘗試用獲取的域管密碼，連接域控服務器、郵件伺服器等

成功IPC連接郵件伺服器：

然後拷貝提權工具和抓HASH工具到郵件伺服器，方法同上（先建立ipc連接再copy）

把提權抓HASH的命令寫入批次檔c:\windows\tasks\1.bat

C:\windows\tasks\win2.exe w2.exe -l >C:\windows\tasks\hash.txt

使用計畫任務執行批次處理1.bat

可以看到成功抓到數以百計的域用戶HASH：

當然，這種NTLM HASH可以秒破密碼，安全脈搏自己的md5也支持NT Hash或者LM Hash的解密査詢~

HASH破解網站：https://www.objectif-securite.ch/en/ophcrack.php

用破解的k**hu使用者密碼登入郵件系統，可以看到有15萬多封郵件

當然運維人員的郵箱乾貨比較多（比如各種配寘，網路拓撲、密碼）！

運維人員有哪些呢？一條命令就知道了：

net group yunwei /domain

以某同學的郵箱為例：

各種Oracle配寘密碼

各種等級保護檔案

各種網路拓撲圖

總結與建議

通過對該機构進行網路安全檢測，獲得了從WEB到內網域控的各種許可權。

當然如果花更多時間，可以讓整個內網系統淪陷。如下網路安全問題值得引起重視：

1、使用者密碼或網站系統密碼弱口令現象普遍，比如郵件系統、OA系統、會議系統。

2、網站上架前入侵滲透測試不徹底，比如用戶後臺允許上傳的檔案類型過濾不全面。

3、MSSQL資料庫使用SA帳戶，給入侵者恢復XP_CMDSHELL執行系統命令的機會。

4、系統補丁更新不及時，比如最新的2014年10月份MS14-058提權漏洞沒有修補。

5、入侵偵測系統沒起作用，比如一些危險操作（抓HASH、IPC連接、大流量拷貝數據   等）沒有進行阻斷。

6、網閘系統配寘有問題，機器之間訪問沒有限制得很死。比如資料庫服務器和郵件伺服器之間可以建立ipc連接。

7、內網系統密碼通用性問題，比如網站設定檔中出現過Password01！，這個密碼同   時也是很多域用戶的密碼。

8、從用戶郵件裡面可看到帶木馬釣魚郵件，說明郵件閘道防病毒、垃圾郵件功能不够。

9、不是所有機器都安裝了殺軟，比如OA服務器就沒有殺軟，導致提權、抓hash工具   能够直接運行。

【本文由安全脈搏作者土豪原創轉載請注明來自安全脈搏】

本文作者：SecPulse

本文為安全脈搏專欄作者發佈，轉載請注明：https://www.secpulse.com/archives/32531.html