从web弱口令到的获取集权类设备权限的过程
字数 1265 2025-08-10 08:28:57

从Web弱口令到获取集权类设备权限的完整渗透过程

0x01 Web弱口令获取SSH权限

  1. 端口扫描发现目标

    • 发现443端口是某厂商VPN管理平台
    • 使用默认凭证admin/xxxxx成功登录

  2. SSH连接尝试

    • 发现22端口开放但SSH连接被ACL限制
    • 下载完整配置文件分析,发现VTY相关的是2001 ACL规则
    • 将自己的IP添加到2001 ACL规则库中

  3. 代理尝试失败

    • 尝试用plink通过SSH做转发失败,因安全设备不同于Linux系统

0x02 添加VPN进入内网

  1. 设置L2TP VPN服务端

    • 在设备中配置VPN服务端

  2. Windows 10 VPN连接配置

    • 控制面板 > 网络和Internet > 网络连接
    • 找到VPN连接,右键属性 > 安全选项调整:
      • 数据加密:可选加密
      • 允许使用这些协议:CHAP、MS-CHAP v2

  3. 路由跟踪与NAT配置

    • 发现能tracert通但无法访问内网系统
    • 添加NAT转换:
      • 选择Easy IP模式
      • 关联新添加的名为SSH的ACL规则
      • 选择正确的出口接口(根据tracert下一跳确定)

  4. ACL规则添加

    • 添加两个ACL:
      • 2000:移动出口上网ACL(用于测试期间查资料)
      • SSH:访问内网ACL(用于攻击内网系统)

0x03 内网资产发现

  1. 扫描工具选择

    • 传统timeoutsocket无效
    • 使用F-NAScan成功发现大量存活主机

  2. 集权类设备发现

    • 发现两台集权类设备:
      • 厂商A终端检测系统(未能破解)
      • 厂商B终端检测系统(通过弱口令进入后台)

0x04 获取内网服务器权限

  1. 攻击思路

    • 方案1:激活guest用户,设置密码,加入管理组
    • 方案2:powershell+Cobalt Strike上线(因内网不出网放弃)

  2. 方案实施与问题

    • 初始命令执行失败: 
      net user guest /active:yes && net localgroup administrators guest /add && net user guest qax@1234567qwert
    • 发现杀软拦截操作

  3. 绕过杀软

    • 使用net1代替net: 
      net1 user guest /active:yes
net1 user guest qax@1234567qwert
      • 可激活用户和改密码,但无法加入administrators组

  4. 密码重置方案

    • 使用mimikatz读取密码: 
      mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit >> log.txt
    • 重置administrator密码: 
      net1 user administrator xxxxxx@1234abcdxxx
    • 登录后恢复原密码

0x05 内网横向移动

  1. 密码利用

    • 使用获取的密码在内网扫描

  2. 扫描工具选择

    • RDP扫描:使用7kb的RDP-Sniper(效果显著)
    • SSH扫描:使用超级弱口令工具

  3. 成果

    • 获取10多台服务器权限

0x06 技术总结

完整攻击链:

  1. 通过设备Web弱口令登录后台
  2. 开启VPN并添加ACL进入内网
  3. 通过弱口令登录集权设备后台
  4. 突破绕过杀软防护
  5. 获取服务器权限并横向移动
  6. 扩大控制范围获取更多服务器权限

关键要点

  1. ACL规则分析:通过下载配置文件分析正确的ACL规则组
  2. VPN连接问题解决:Windows 10需要调整安全协议设置
  3. NAT配置:内网访问需要正确配置源地址转换
  4. 杀软绕过
    • 使用net1代替net执行部分操作
    • 采用密码读取而非直接添加用户
  5. 横向移动工具选择
    • RDP扫描:RDP-Sniper优于超级弱口令工具
    • 密码重用是内网横向的主要突破口
从Web弱口令到获取集权类设备权限的完整渗透过程 0x01 Web弱口令获取SSH权限 端口扫描发现目标 : 发现443端口是某厂商VPN管理平台 使用默认凭证 admin/xxxxx 成功登录 SSH连接尝试 : 发现22端口开放但SSH连接被ACL限制 下载完整配置文件分析,发现VTY相关的是2001 ACL规则 将自己的IP添加到2001 ACL规则库中 代理尝试失败 : 尝试用plink通过SSH做转发失败,因安全设备不同于Linux系统 0x02 添加VPN进入内网 设置L2TP VPN服务端 : 在设备中配置VPN服务端 Windows 10 VPN连接配置 : 控制面板 > 网络和Internet > 网络连接 找到VPN连接,右键属性 > 安全选项调整: 数据加密:可选加密 允许使用这些协议:CHAP、MS-CHAP v2 路由跟踪与NAT配置 : 发现能tracert通但无法访问内网系统 添加NAT转换: 选择Easy IP模式 关联新添加的名为SSH的ACL规则 选择正确的出口接口(根据tracert下一跳确定) ACL规则添加 : 添加两个ACL: 2000:移动出口上网ACL(用于测试期间查资料) SSH:访问内网ACL(用于攻击内网系统) 0x03 内网资产发现 扫描工具选择 : 传统timeoutsocket无效 使用F-NAScan成功发现大量存活主机 集权类设备发现 : 发现两台集权类设备: 厂商A终端检测系统(未能破解) 厂商B终端检测系统(通过弱口令进入后台) 0x04 获取内网服务器权限 攻击思路 : 方案1:激活guest用户,设置密码,加入管理组 方案2:powershell+Cobalt Strike上线(因内网不出网放弃) 方案实施与问题 : 初始命令执行失败: 发现杀软拦截操作 绕过杀软 : 使用net1代替net: 可激活用户和改密码,但无法加入administrators组 密码重置方案 : 使用mimikatz读取密码: 重置administrator密码: 登录后恢复原密码 0x05 内网横向移动 密码利用 : 使用获取的密码在内网扫描 扫描工具选择 : RDP扫描:使用7kb的RDP-Sniper(效果显著) SSH扫描:使用超级弱口令工具 成果 : 获取10多台服务器权限 0x06 技术总结 完整攻击链: 通过设备Web弱口令登录后台 开启VPN并添加ACL进入内网 通过弱口令登录集权设备后台 突破绕过杀软防护 获取服务器权限并横向移动 扩大控制范围获取更多服务器权限 关键要点 ACL规则分析 :通过下载配置文件分析正确的ACL规则组 VPN连接问题解决 :Windows 10需要调整安全协议设置 NAT配置 :内网访问需要正确配置源地址转换 杀软绕过 : 使用net1代替net执行部分操作 采用密码读取而非直接添加用户 横向移动工具选择 : RDP扫描:RDP-Sniper优于超级弱口令工具 密码重用是内网横向的主要突破口