搜索
查看: 785|回复: 0

某机构网络安全检测报告

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2015-5-31 21:08:35 | 显示全部楼层 |阅读模式
目标信息收集:

www.SecPulse.com [aa.bb.cc.138] 主站
gonghui.SecPulse.com [aa.bb.cc.146] 工会网站
iwf.SecPulse.com [aa.bb.cc.144] OA系统
mail.SecPulse.com [aa.bb.cc.132] 邮件系统
meet.SecPulse.com [aa.bb.cc.135] 会议系统
uatmcms.SecPulse.com [aa.bb.cc.139] 会员合规管理系统
tradeweb1.SecPulse.com [aa.bb.dd.5] 交易系统
jy.SecPulse.com [aa.bb.dd.7] 交易管理系统
kpi.SecPulse.com [ee.ff.gg.137] 总裁决策信息平台
www.cms-SecPulse.com [ee.ff.gg.145] 网上开户系统
update.SecPulse.com [ee.ff.gg.141] 软件更新系统
https://ee.ff.gg.143 会员业务支撑系统

注:为保证隐私 域名全部换成了SecPulse

目录索引:
  1. 弱口令开篇
  2. WEB沦陷
  3. 内网渗透
  4. 总结与建议
复制代码

一、弱口令开篇

1、邮件系统:

https://mail.SecPulse.com/

谷歌加the harvester收集到一些邮箱 尝试弱口令猜解
c**r / 11111111
k***u / 11111111
xx***ngbu / 11111111

owa进去后分分钟利用脚本获取通讯录和公司组织架构,为后续突破做更好准备。



2、OA系统:

https://iwf.SecPulse.com/


  1. c**r / 12345678
复制代码



3、会员合规管理系统:

http://uatmcms.SecPulse.com

  1. admin / admin
复制代码



4、会议系统:

http://ee.ff.gg.137/

  1. POLYCOM  / POLYCOM
复制代码




二、WEB沦陷

我做测试的第一件事就是分析网络结构 找连接内网的段  根据ip分部情况,大概确定内网所在段。然后找某某目标开始入手

很荣幸其中员工oa系统就是属于内外网


https://iwf.SecPulse.com/iWorkflowPortal/ 弱口令成功登录

  1. c*ir@secpulse.com / 12345678
复制代码

https://iwf.SecPulse.com/iworkflowportal/HRreq/HRAflReq.aspx?ProcessGroupID=170&rocessID=8&rojectID=84&DepartmentID=6

员工请假申请处,用户可上传附件


经测试可以上传cer、asa格式的webshell文件:

还是使用菜刀一句话WEBSHELL 但是需要用户登录验证的

这里有个菜刀小技巧

HTTP登录验证
SHELL地址这样填 http://user:pass@maicaidao.com/server.asp
用户名密码中的特殊字符可用URL编码转换。


服务器在内网,鲜明的P496让我不禁联想到响亮的94P7

同时此服务器在域里

由于系统补丁只打到2014年9月,利用2014年10月份提权漏洞<详情参见安全脉搏:CrowdStrike发现Win64bit提权0day (CVE-2014-4113)>,成功获得系统权限。

抓取系统HASH和管理员明文密码:

内网渗透:

查看OA系统配置文件,找到连接内网数据库SA密码:

Webshell中连接内网数据库:

  1. <name=”CapCenterDB”connectionString=”server=10.**.0.**0;DataSource=10.**.0.**0;InitialCatalog=CapitaWorkflowCenter;User ID=sa;Password=123456;>
复制代码


过程中遇到一个网闸系统 很多目标IP访问都有IP限制的 后来在OA数据库里面找到对应的SourceIP和DestIP以及允许的安全访问的端口。


读取OA数据库中防火墙配置相关信息:

执行sql语句恢复XP_CMDSHELL存储过程:


  1. EXEC sp_configure ‘show advanced options’,1;RECONFIGURE;EXEC sp_configure ‘xp_cmdshell’,1;RECONFIGURE;
复制代码

MSSQL2008恢复xp_cmdshell存储过程成功,执行系统命令,显示为network权限。


这台数据库同样在域里

同样系统补丁更新不及时,这里利用2014年10月份的提权漏洞,成功提升为系统权限

先和OA服务器建立ipc连接,用以从OA服务器拷贝提权工具到数据库服务器:


  1. EXEC master..xp_cmdshell ‘net use \\10.**.1.100\ipc$ “Password01!” /user:”P496\Administrator”‘
复制代码


拷贝工具到内网数据库服务器:

数据库服务器提权并抓HASH

抓明文密码

其中不乏有域管理员

域管理员有哪些呢?一条命令就看到了:

net group “domain admins” /domain

【此简单命令只能在域内执行】

现在可以尝试用获取的域管密码,连接域控服务器、邮件服务器等

成功IPC连接邮件服务器:

然后拷贝提权工具和抓HASH工具到邮件服务器,方法同上(先建立ipc连接再copy)

把提权抓HASH的命令写入批处理文件c:\windows\tasks\1.bat

  1. C:\windows\tasks\win2.exe w2.exe -l >C:\windows\tasks\hash.txt
复制代码

使用计划任务执行批处理1.bat

可以看到成功抓到数以百计的域用户HASH:

当然,这种NTLM HASH可以秒破密码,安全脉搏自己的md5也支持NT Hash或者LM Hash的解密查询~

HASH破解网站:https://www.objectif-securite.ch/en/ophcrack.php

用破解的k**hu用户密码登录邮件系统,可以看到有15万多封邮件

当然运维人员的邮箱干货比较多(比如各种配置,网络拓扑、密码)!

运维人员有哪些呢?一条命令就知道了:

net group yunwei /domain

以某同学的邮箱为例:

  1. s**cf  /  Password01!
复制代码

各种Oracle配置密码

各种等级保护文件

各种网络拓扑图

总结与建议

通过对该机构进行网络安全检测,获得了从WEB到内网域控的各种权限。

当然如果花更多时间,可以让整个内网系统沦陷。如下网络安全问题值得引起重视:

1、用户密码或网站系统密码弱口令现象普遍,比如邮件系统、OA系统、会议系统。

2、网站上架前入侵渗透测试不彻底,比如用户后台允许上传的文件类型过滤不全面。

3、MSSQL数据库使用SA账户,给入侵者恢复XP_CMDSHELL执行系统命令的机会。

4、系统补丁更新不及时,比如最新的2014年10月份MS14-058提权漏洞没有修补。

5、入侵检测系统没起作用,比如一些危险操作(抓HASH、IPC连接、大流量拷贝数据    等)没有进行阻断。

6、网闸系统配置有问题,机器之间访问没有限制得很死。比如数据库服务器和邮件服务器之间可以建立ipc连接。

7、内网系统密码通用性问题,比如网站配置文件中出现过Password01!,这个密码同    时也是很多域用户的密码。

8、从用户邮件里面可看到带木马钓鱼邮件,说明邮件网关防病毒、垃圾邮件功能不够。

9、不是所有机器都安装了杀软,比如OA服务器就没有杀软,导致提权、抓hash工具    能够直接运行。

【本文由安全脉搏作者土豪原创 转载请注明来自安全脉搏 】




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表