某次以目的为导向的内网渗透-取开发源码_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

某次以目的为导向的内网渗透-取开发源码

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


某次以目的为导向的内网渗透-取开发源码

本次任务是某地区软件开发公司所开发的产品,最好是能拿到源码,或者开发、测试环境的访问凭证。 首先定位目标公司的资产,使用 fofa 检索: 根据资产对应的指纹,使用一些扫描工具扫一扫: 以及新近出来的 exp: 结合编码将 webshell 内容上传目标站点: 访问站点发现已经解析: 连接成功后,由于主要目标为获取源码,因此做了些简单的信息收集后,直接丢免杀的扫描工具去发现开发机器。 发现网络地址为 10 段,于是上传个精简版 netspy 看看有没有其他段: 扫完存活网段后,将结果作为信息收集工具的目标,例如 fscan 制定 hf 参数,即可根据结果文件中的目标地址展开信息收集: 这时在结果中就可以额外注意一些扫出来的 445 端口信息,或者 netbios 主机名,如果存在 dev、ops、code、git 等字眼,或者 web 标题中常见的 response、git、code 等字眼,可作为重点关注目标: 笔者这里并没发现特别的站点,但由于前期调研目标单位,发现单位提供产品大多为 crm 套件,或者云办公产品,且合作单位猎豹有 oracle,因此判断大概率存在 java 中间件二开的产品。 而在内网扫描一波后发现两个指纹为 weblogic 的站,且端口 7001 符合常用端口: 使用漏洞扫描工具,将流量带到内网进行扫描,发现存在历史漏洞,且可以执行命令: 执行 tasklist 查看有没有杀毒软件: 好家伙,诺顿,绕过还是挺麻烦的,看看迂回战术能不能取到想要的内容。 先使用命令执行挨个查看硬盘内容: 再查看 weblogic 发布的代码包: 好家伙,存在不少呢,于是简单判定这个跟开发肯定有关系,至少是测试环境,误打误撞碰到了竟然。 由于存在杀软,绕过需要费心思,因此取文件是个技术活。 回头看 weblogic 漏洞的权限,发现为管理员 administrator,于是上传 prodump 取 lsass,此处不再赘述。 将结果放到 weblogic 的默认界面的静态目录下,更名为 zip 后下载到本地解密,得到密码: 得到密码后,如果不需要长期稳定控制,其实可以选择单条命令执行、编码解码、取共享文件方式获取敏感内容,而非使用明星远控、烂大街工具取,徒增被发现的风险。 使用 impacket 的 smbclient 连接目标,命令: # 使用密码 proxychains python3 smbclient.py administrator:passrrrr@10.210.22.3 # 使用hash proxychains python3 smbclient.py administrator@10.133.22.22 -hashs xxxxxx:xxxxx 效果: 发现有个 backup 文件夹共享出来了,盲猜这是开发各个版本的备份内容。 发现一些开发历史文件: 根据其中部分测试文件,发现了一些软件使用指南,例如使用登录方式: 以及核心软件系统附加开发开发项目管理的账本,经翻译后显示为: 共享文件中没什么其他可去的工具后,使用 weblogic 漏洞翻桌面发现语言不通会乱码,于是查询管理员不在线的情况下,冒险登录桌面看看: 很好,在备注处还直接备注了登录账密,那离最后目标不远了,访问: 翻遍桌面和其他盘内容后,给桌面留个截图: 将源码就地打包,放入 web 的静态目录后直接下载到本地: 最后拿着这些代码交了差,甲方对此成果价值比较满意,并部署了后续持续控制的要求。 文章作者:1321500662010387原文地址:https://xz.aliyun.com/t/13105 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

某次以目的为导向的内网渗透-取开发源码