從TCL某漏洞看內網滲透教學分享之內網信息探測和后滲透準備

常規的,從web業務撕開口子

url:bit.tcl.com

getshell很簡單,phpcms的,一個Phpcms V9 uc api SQL的老洞直接getshell,拿到shell,權限很高,system

看看網卡信息

t1

只有一塊網卡,處于10.4.22的私網地址

在這里,如果我們想要通過這臺機器對內網進行滲透,首要工作就是進行內網探測,介紹幾個方法

0x00如果你只是需要對內網的業務主機進行滲透,那么可以優先查看一下hosts,針對hosts中的主機針對性滲透

0x01如果想要對整個C段主機進行滲透,比較完整方便的方法還是掃描,這里就需要我們進行內網代理,然后掃描

正向代理or反向代理,因為此處主機無法通外網,所以我們選擇正向代理

一個我常用的代理reGeorg

https://github.com/sensepost/reGeorg

上傳代理腳本,然后用regerog進行代理連接(regeorg需要urllib3,所以各位需要用到時,先安裝這個模塊)

t2

用nmap等進行代理掃描,很簡單可以使用proxychains或者win 下使用proxycap

因為我們這里指定的端口時2333,所以修改一下proxychains的conf

t3

以此來進行內網C段的信息探測

0x02當然,僅僅通過掃描,并不能獲取到最全面的信息,最全面的信息,要么就是我們拿到了內網拓撲,或者,我直接日下了路由器

路由器,走你~

通過之前的nmap掃描,我們大概知道了開放web服務的主機

訪問11,12,13三臺主機后,發現時cisco的路由器,且是開放web管理的cisco路由器,默認密碼cisco成功進入

t4

開放web管理的思科路由是可以在web端執行命令的,但是我們的路由權限只是1,cisco的權限分級大概是這樣:

管理員是7 ,但是有15個權限分級,15的權限基本屬于為所欲為權限

在這里,因為看到當前路由ios版本號是

t5

低版本的iOS可以利用我之前的一個老洞進行cisco路由提權

因為在web端,可以用privilege15進行命令操作

t6

這樣我們就擁有了一個privilege15的用戶,趕緊telnet進路由看看配置,一定會有驚喜

t7

看到我們確實拿到了privilege15的用戶

那么,來瞅瞅路由配置吧

幾個業務,DB,辦公的vlan躍然于眼前,當前我們實在web vlan的

其他兩臺路由也一樣到玩法

===================分割線==================

那么有的同學就問了,如果我不滿足于在web vlan鬧騰,如果我作為一個黑闊,我要去辦公vlan去耍怎么辦,喲西~既然我們都已經控制了路由啦,當然可以去鬧!

因為我不是運維狗,所以咨詢了z8大屌,他告訴我,少年,你聽過GRE隧道么,誒嘿~

http://itchenyi.blog.51cto.com/4745638/1137143

http://www.codesky.net/article/201207/171461.html

大家可以參考這兩個地方

通過GRE隧道配置,我們就可以跑到另外一個vlan去鬧了~

(做人留一線,日后好相見,就不截圖call_center的vlan了,滲透其網段的思路也和之前介紹的一樣)

=========分割線==============

那么又有同學舉手了,如果我滲透的目標無法短時間內就完成,需要進行后滲透,我怎么樣才能讓我之后的滲透也方便呢?

好的,同學你很猥瑣,這里介紹幾個平時我們工作中常用的留后門多法子

首先,這個cisco的路由后門,我們肯定要優先留一個

cisco路由器支持TCL cisco腳本,所以我們的后門也通過這個來完成

這是老外寫的一個后門,先在路由中開啟tclsh模式,然后引入后門腳本

這樣我們就留下來后門,下次鏈接可以直接在網段內的機器直接

nc 路由ip 1234(端口在后門腳本中修改)

ok,如果web的入口斷了,這一切都白搭,所以我們還應該對web的機器留下比較隱藏的后門

說兩個,一個是文件形的后門

這個辦法之前phinthon老師已經說過了,就是通過php.ini或者user.ini留后門

在一個有正常php文件的目錄下新建一個.user.ini

內容為

而你的xxx.gif之類就是你的后門

具體可以參考http://drops.wooyun.org/tips/3424

第二個辦法,非文件形的后門,這樣的后門優勢在于非常隱蔽,一般的網管都發現不了,但是有一個非常大的缺點,重啟,或者進程中斷后門就消失了

原理大概是:后門的代碼第一行刪除自身,然后駐留在后臺內存里,等待外部鏈接

在xxx.txt中寫入你的后門代碼,訪問后就會刪除自己并循環執行txt的代碼,這是之前某人寫過的了

除了這樣的,如果主機是linux,也可以用前段時間豬豬俠說的crontab做后門。

【via@redrain