0x0 前言
本次渗透可以说是彩蛋不断!对于事情已经过去了一年 。事情于2022年的9-10月发生,在我打穿某单位的域控时候,发现运维人员在运维电脑上登录微信聊天,并且没有关机的习惯,甚至连微信的聊天窗口都大大的摆在屏幕前,甚至连聊天窗口都没有关闭。当我拿下机器时候,清晰可见的聊天记录映入眼帘。在刚拿下机器的时候,我发现的该运维人员同时与两名女暧昧聊s,并且有其一是原配,另外一个是单位的同事。起初我并没有萌生别的想法,心里想着,这是别人的家事与本次渗透的目的并不存在关联,于是当时并没有要管,而是一个劲的搜集目标主机的信息,包括敏感文件,浏览器的密码,浏览历史记等…..如果你要吃瓜,可以直接拉到文章末尾,如果你要看整个事情的经过,可以细细看起!
0x1如何拿到域控
其实一开始并没有真正拿到域控,而是拿下了VMware vCenter。VMware vCenter是VMware公司的一款虚拟化管理软件,用于管理和监控虚拟化环境中的虚拟机(VM)和物理服务器。它是VMware vSphere平台的关键组件之一,提供了一种集中式的管理方式,以简化虚拟化环境的部署、配置、监视和维护。当时扫到这个应用的时候,用的是CVE-2021-21972(https://github.com/NS-Sp4ce/CVE-2021-21972)的exp来打,遍历目录写shell。
当时成功的连接的冰蝎的马子,目标是需要登陆VMware vCenter的面板。有两种方法,第一是解密图中的数据库密文(当时没有跑通所以选了第二种),第二种是获取cookie 必须得把下面的文件拉出来
/storage/db/vmware-vmdir/data.mdb
其实这里有一个坑,通过CVE-2021-21972打进来的权限是vsphere-ui,而文件访问权限是root,所以必须提权。这也是很多文章都没有提到。所以这里需要提权。
0x3提权VMware
好在打进来之后,自带的有python3.由于是linux,而网上大部分的牛马文章都是windows。这里查了很多文章资料,也试了很多exp,最终使用CVE-2021-3156https://github.com/worawit/CVE-2021-3156/tree/main进行提权成功(后来遇到很多Linux的机器,使用这个exp基本通杀)当跑完脚本之后,会直接添加一个gg的账户(密码也是gg)
提权之后就可以把
/storage/db/vmware-vmdir/data.mdb
下载下来了,不知道为什么冰蝎一直下载失败,当时用的是scp命令来上传到我的服务器。
然后再把服务器上的文件拉到本地
0x4获取cookie
拉到的data.mdb文件之后,可以使用https://github.com/horizon3ai/vcenter_saml_login来解密获取cookie,然后直接使用小饼干注入cookie,即可登录。由于目标在内网,我使用了proxychains4来进行流量穿透
python3 vcenter_saml_login.py -p data.mdb -t xxx.xxx.xxx.xxx
后来其实打到这里已经差不多可以结束了,单位大部分服务和敏感数据都建立于vm之上。当时领导说已经可以交报告下班了。
0x5 运维机上的秘密
运气很好,运维机器没有锁屏,当时已经是凌晨4点,可以断定运维不在电脑面前,下面是运维机器的一些截图
0x5吃瓜环节
其实这里有很多露骨的聊天,打炮,原配刚走,马上小3又来酒店这里就不放了。
首先这个是运维人员原配的外地女友,这里不回复原配信息
然后是上班的小3同事,请注意,这里可以看到原配打了很多电话都不接,假装没看到,而是回复了小3同事的微信
妈的真恶心,必须曝光
这里依然原配发消息不回复
0x7 抓奸现场
凭着多年的红客精神,以及骨子里的教养,这种事情必须拔刀相助!于是开上小号加上了原配vx。
最后附上CKC的经典名言 再也不主动了。
至此,感谢大家的耐心观看。
原文始发于微信公众号(X安全实验室):遥遥领先!渗透之意外抓奸现场
