专栏名称: 信息时代的犯罪侦查

一切行为皆有犯罪的可能性，而在信息时代，这一过程变得更加复杂或者隐晦了。本号致力于传播打击和预防犯罪的手段、方法、理念，并希望能够推动侦查犯罪的机制变革，而这需要了解方方面面的信息。

从线上约架到精准落地线下身份（6、7）

信息时代的犯罪侦查 · 公众号 · · 2019-10-05 23:59

正文

随笔

知识

案例

声音

其他

编者按

“ 大搜捕 ”第六、七步：环环相扣的内网渗透之密码攻击、扼住公司命运的咽喉

0x06 环环相扣的内网渗透之密码攻击

现在主要任务是尽可能的多拿一些服务器权限，方便后面扩大渗透的成果。在我看来，内网渗透就是一场攻坚战，步步为营；也好比一盘棋环环相扣，每一步的操作都关系到后面渗透结果的成功与否； 还有重要的一点，也是本文的核心主题，要做到“心中有剑，落叶飞花，皆是兵器” 。

Metasploit是一款开源的安全漏洞检测工具，被安全社区冠以“可以黑掉整个宇宙”之名的强大渗透测试框架。在渗透测试时，它往往作为后渗透工具，所以我习惯用它来接管内网权限，接下来的内网渗透篇幅以Metasploit工具为主。

由于我的Metasploit服务器架设在公网上，无法直接访问到目测内网服务，需要使用工具中后渗透模块的路由功能来接入内网。使用run autoroute -s x.0.8.0/24命令配置内网路由，接着尝试用ms17010打内网服务器。

拿到该服务器权限后，进入继续搜寻密码等信息。将前面收集到的密码汇总后，对内网的常用服务初步进行一遍爆破。

为了方便查看和管理等操作，决定直接使用远程桌面来接管服务器(一般情况下，建议在命令行下操作)。通过给x.0.8.2x这台服务器下发端口转发工具，成功跳进内网，并进一步登录进爆破成功的服务器。

在其中一台服务器中发现了服务器远程管理工具WinSCP

配置文件中发现另一个网段x.0.4.x及该公司外网里相关业务服务器，尝试对其密文进行解密。

尝试使用这些信息登录到服务器，但登陆失败：

这时候在另一台服务器中找到已安装的Navicat，通过相关的密码恢复工具再次得到了数据库连接信息。在其中一台连接过的数据库服务器里找到一个名为xxxxx的库，里面数据杂七杂八，猜测可能是以前管理员遗留的旧员工打卡一类的数据库。

抱着碰运气的念头对所有用户的密文尝试解密操作，将数据库中的用户名、密码、手机号等信息作了收集，方便下面对整个内网的渗透操作。

至此虽然拿到该公司的员工信息，但是我们还是无法获知PersonA的真实身份(通过论坛targetA.com拿到了personA的邮箱，但可惜其公司内网的数据库中没有相关登记)，所以还需要继续推进渗透工作。

0x07 扼住公司命运的咽喉

接着调转车头准备搞前面在WinSCP中发现的新网段x.0.4.x。我用最开始的跳板机ping了一下，发现这两个网段是可以互通的。

该网段纳入到爆破工具当中，虽然拿到了部分Linux主机，但可惜里面都不是我想要的。

登录到前面爆破出的Linux服务器上搜集信息，通过侦察发现某台服务器上存在磁盘挂载。

这让我陷入了深思中…

接着使用Nmap对新网段x.0.4.x的常用端口进行扫描，并未找到太多有用的线索。但我对网段中另外一台服务器进行全端口扫描后发现了一个有用的信息，该服务器可能是员工管理服务器。

访问80端口后，并未找到漏洞；而8888是第三方Linux管理面板，后台密码是自动生成的，所以不存在弱口令等问题； 8xxx则是ssh的端口，同样不存在弱口令；所以综上常规思路是无法正面突破的。

忽然我灵机一动想到前面还有一个445端口，这就说明目标服务器存在文件共享，可能是之前打开的姿势不对没能进去。与此同时，我正在x.0.8.x网段试验SMB服务相关的攻击手法，顺手把目标服务器的IP输入到资源管理器的地址上，回车后不可思议的一幕发生了：