某次以目的为导向的内网渗透-取开发源码

本次任务是某地区软件开发公司所开发的产品，最好是能拿到源码，或者开发、测试环境的访问凭证。 首先定位目标公司的资产，使用 fofa 检索： 根据资产对应的指纹，使用一些扫描工具扫一扫： 以及新近出来的 exp： 结合编码将 webshell 内容上传目标站点： 访问站点发现已经解析： 连接成功后，由于主要目标为获取源码，因此做了些简单的信息收集后，直接丢免杀的扫描工具去发现开发机器。 发现网络地址为 10 段，于是上传个精简版 netspy 看看有没有其他段： 扫完存活网段后，将结果作为信息收集工具的目标，例如 fscan 制定 hf 参数，即可根据结果文件中的目标地址展开信息收集： 这时在结果中就可以额外注意一些扫出来的 445 端口信息，或者 netbios 主机名，如果存在 dev、ops、code、git 等字眼，或者 web 标题中常见的 response、git、code 等字眼，可作为重点关注目标： 笔者这里并没发现特别的站点，但由于前期调研目标单位，发现单位提供产品大多为 crm 套件，或者云办公产品，且合作单位猎豹有 oracle，因此判断大概率存在 java 中间件二开的产品。 而在内网扫描一波后发现两个指纹为 weblogic 的站，且端口 7001 符合常用端口： 使用漏洞扫描工具，将流量带到内网进行扫描，发现存在历史漏洞，且可以执行命令： 执行 tasklist 查看有没有杀毒软件： 好家伙，诺顿，绕过还是挺麻烦的，看看迂回战术能不能取到想要的内容。 先使用命令执行挨个查看硬盘内容： 再查看 weblogic 发布的代码包： 好家伙，存在不少呢，于是简单判定这个跟开发肯定有关系，至少是测试环境，误打误撞碰到了竟然。 由于存在杀软，绕过需要费心思，因此取文件是个技术活。 回头看 weblogic 漏洞的权限，发现为管理员 administrator，于是上传 prodump 取 lsass，此处不再赘述。 将结果放到 weblogic 的默认界面的静态目录下，更名为 zip 后下载到本地解密，得到密码： 得到密码后，如果不需要长期稳定控制，其实可以选择单条命令执行、编码解码、取共享文件方式获取敏感内容，而非使用明星远控、烂大街工具取，徒增被发现的风险。 使用 impacket 的 smbclient 连接目标，命令： # 使用密码 proxychains python3 smbclient.py administrator:passrrrr@10.210.22.3 # 使用hash proxychains python3 smbclient.py administrator@10.133.22.22 -hashs xxxxxx:xxxxx 效果： 发现有个 backup 文件夹共享出来了，盲猜这是开发各个版本的备份内容。 发现一些开发历史文件： 根据其中部分测试文件，发现了一些软件使用指南，例如使用登录方式： 以及核心软件系统附加开发开发项目管理的账本，经翻译后显示为： 共享文件中没什么其他可去的工具后，使用 weblogic 漏洞翻桌面发现语言不通会乱码，于是查询管理员不在线的情况下，冒险登录桌面看看： 很好，在备注处还直接备注了登录账密，那离最后目标不远了，访问： 翻遍桌面和其他盘内容后，给桌面留个截图： 将源码就地打包，放入 web 的静态目录后直接下载到本地： 最后拿着这些代码交了差，甲方对此成果价值比较满意，并部署了后续持续控制的要求。 文章作者：1321500662010387原文地址：https://xz.aliyun.com/t/13105 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END