某第三支付边界机漏洞导致的内网渗透


2019了… 2018立的 Flag 变成了2019的 Flag…   真是个废物啊!~

前言

朋友邀请我进“圈子”,说里面有些文章还不错,就注册了一个账号,可是要发文章才能激活,所以就把前段时间的捡的一个洞,打打码提交了。  想想好久没写东西了,既然都在别的地方发了半个多月了,就复制过来了。


此次渗透是一次意外,也提交到了CNVD。实在没时间写东西了,反正是半个月前写的,那也没发什么地方,就打打码发这里来了,想进来看看,交点朋友。内容较为敏感故进行了打码,重在过程内容不太重要。

正文

有增改,可能有些地方不通顺。将就着看吧。

一次意外捡到的这个IP
http://11.*.*.3/
打开就看到 XX 支付测试环境 虽然当时不知道 XX 支付是干嘛的 但是看到测试环境就想搞搞

于是扫了一下端口 发现开了很多 有ssh的也有rdp的 是台边界的出口机子 经常遇到这样的机子一般都很弱

其中 55 端口跑着 http 然后发现目录遍历… 目录遍历发现一个日志文件,百来M 最新写入时间就在几秒钟前…

打开一看,突然后背发凉… 被记录了我的真实IP,有点不爽,我就随便看看也记录我IP,于是就想着撸下来删日志。

于是就慢慢看

http://11.*.*.3:55/login.php?note=expired

继续看这个站然后找到了 phpmyadmin 发现版本很老,而且空口令

http://11.\*.\*.3:55/phpMyAdmin

账户 root密码 空

然后理所当然的写了个shell

http://11.\*.\*.3:55/a.php

为了方便 上传了一个大马

http://11.\*.\*.3:55/xx.php

执行cmd很多命令用不了,但是administrator的 desktop能访问

应该是administrator或者system权限

看了进程没有杀毒 直接丢了一个msf反弹马上去

忘记了XP系统无法没有 whoami Xp系统 开始感觉是应该是虚拟机 有点怀疑是蜜罐

然后想着 进都进来了 就看看内网怎么样吧…
后来发现内网挺大的

于是… 添加路由表
轻轻的扫了一下内网 挑了两个 445 打ms17010 证明内网可大量沦陷

172.16.1.20
172.16.1.210
都存在17010漏洞 还有好几台都有… 我就打了两台 再看看是不是虚拟机 哦豁!~ 宿主机 似乎有搞头? 于是又打了一台
反弹的shell

看了一下管理员桌面 又发现一台主机的密码 然后还发现了别的域 然后两台都抓了一下密码

发现 Lt_**** 密码是通用的
其中172.16.1.20 里面发现连接了一个1521 我并没有在磁盘中去查找 1521的密码 不过我感觉如果找了 应该也是通杀的。
然后转发了一台 6379 端口出来 证明一下 无口令

别的 3306 3389 1433 80-90 8080-8090 这些端口 我都没看 主要是点到为止
那几台 6379 其实都可以shell 了

还有 172.16.1.210 应该是vsphere的控制台 而且密码应该就是这个通用的 进去了能接管其他主机 相当于域控
于是乎….
我就把 172.16.1.210 的443端口转发出来了

发现确实是 点到为止,没有继续了。

1 thought on “某第三支付边界机漏洞导致的内网渗透”

发表评论

电子邮件地址不会被公开。 必填项已用*标注