HW攻防 | 记一次从小程序到内网vcenter接管全过程
原文链接: https://mp.weixin.qq.com/s?__biz=MzUyODkwNDIyMg==&mid=2247550793&idx=1&sn=419560f8eb0ba93c6ee94a3d0c193181
HW攻防 | 记一次从小程序到内网vcenter接管全过程
原创 zkaq-syst1m 掌控安全EDU 2025-07-08 04:02
扫码领资料
获网安教程
本文由掌控安全学院 – syst1m 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~( https://bbs.zkaq.cn)
由于数据较为敏感,前方有大量厚码,各位看官见谅!
一.前言
本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的;文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。
二.大概流程
1. 外网突破(小程序漏洞利用)
-
• 发现小程序存在 SQL注入
,但利用价值有限。 -
• 利用 Shiro反序列化漏洞
获取Web服务器权限,尝试写入内存马失败(EDR拦截)。 -
• 覆盖404.jsp
,写入WebShell,成功进入内网。
2. 内网横向渗透
-
• 发现 Todesk
远程控制软件,通过内存抓取获取凭证,连接内网机器。 -
• 使用 fscan
扫描内网,发现大量漏洞: -
• Nacos默认密码
→ 获取敏感配置 -
• Druid未授权访问
→ 登录后台 -
• Spring Env信息泄露
→ 获取数据库账号密码 -
• 利用数据库服务器作为跳板,发现 vCenter
目标。
3. vCenter接管(最终目标)
-
• 利用 CVE-2021-22005
漏洞上传WebShell,获取 root权限
。 -
• 提取 vCenter数据库
,解密管理员密码。(行不通
) -
• 通过 生成Cookie
绕过认证,成功登录 vSphere Web控制台
,接管整个虚拟化环境。
4.最终成果
-
• 控制 外网入口服务器
、内网数据库服务器
、vCenter
。 -
• 获取 数十台核心服务器权限
及大量敏感数据(数据库、支付密钥等)。
三.正片开始
1.小程序
1.1.sql注入
查询处拿到两个注入,mysql,用处不大
1.2.shiro反序列化
在同接口发现shiro,工具梭哈拿下,终于也是让我碰上了哈哈哈哈
然后准备打内存马,然后直接上哥斯拉进内网。但是一直打不上去,手动也不行,看了下进程列表,发现了问题,存在edr
打不了内存马,只能手动去写webshell,这里卡了很久,因为一直没有找到路径,加上前后端分离,在当前执行命令的路径下,找不到对应的静态文件,一度怀疑此处是别的站开的进程,因为上层目录存在多个tomcat。
只能通过搜索静态文件,一开始等了很久,没有回显,以为是没有找到,就又卡住了。结果找着找着,结果突然回显回来,应该是find了很久。找到了绝对路径,但是写马发现此目录是纯静态,前后端分离的,没有执行权,又找不到后端,没法了
上马直接下载
1.3.迂回拿下todesk
其实一开始就看到有todesk,然后想要上传proceedump抓取内存,但是发现本地读取没法下载,然后二合一的工具又会被edr拦截。本来是卡住的,但是上面找了前端,就可以通过前端去下载。
下载后工具读不出来,二合一直接抓取后在服务器读取的工具又会被拦截。
查阅相关信息后,把dump的内存文件copy到前端目录,通过静态目录,去下载读取的内存文件。拉到本地手工读取,搜索字符串dump的日期,上下文寻找,看到数据或字符串大概率就是,尝试几个
成功连接上
但是特别卡,根本点不动,而且发现有运维在操作。没有办法,只能再次迂回回去找目录。接下来就到了非常逆天的一段,一台服务器里开了七八个tomcat,开始翻目录,找真实路径,加上这个服务端全部是通过这种路由,去构造参数访问不同的功能,前后端不在一个目录,逆天开发。
死活是找不到后端所在的对应路径,而静态文件,和图片之类的,全部在上面那个前端文件夹里
最后发现,include了404页面,在扫路径的时候发现访问/api/xxx一个不存在的页面,都会直接跳转的404.jsp页面,索性直接找到404.jsp这个文件,通过下载服务器上的免杀webshell来覆盖这个文件。别问为什么既然找到404.jsp了,不直接写马,因为写上去了,也找不到访问地址……而404这个文件则是全局include的
好在没有杀软,powershell下载是能用的
2.内网
终于,拿下,由此进入内网
找到配置文件拿下数据库
接管小程序,和一大堆数据库,加上支付key
进了内网挂上frp, 丢上免杀的fscan,低速率开始扫描。
通过多个nacos默认密码,大量未授权敏感信息泄露,又拿到一批数据库密码
druid未授权,通过session直接登陆后台,拿到web管理权
大量spring env未授权,通过heapdump 文件,拿到大量敏感信息,账号密码等
通过泄露的账号密码,进行密码喷洒,拿到大量数据库,大部分可以执行命令
挨个查看,选了一台双网卡主机,上线cs做个维权,查看arp发现还有三个网段 。1.1.1.1/2/3
上fscan扫着扫着发现,被应急了,外网webshell和隧道直接掉了。
还好上了一台数据库服务器到cs做了维权,这台数据库服务器,存在两张内网网卡,同时出网,比较隐蔽。
但是版本较低,需要重新起隧道,2008r2系统要低版本frp,此处使用
v0.51.2
版本,高低版本配置文件兼容,一样可以使用.toml不需要改。
3.拿下vcenter
通过fscan扫描找到了vcenter,人称小域控,打到这里基本摸清了内网结构,是没有域环境的,只有一台vcenter,那么大概率这台就是集权控制中心了。
试了好几个github上的高star工具都打不动,手工paylaod打完了一遍,都没结果。
突然想起来,内网试试goby。这里不得不提,内网goby是真的好用,挂上代理,指定单扫poc,防止流量过大
最后通过cve-2021-22005上传拿下,goby yyds!
拿到webshell,是台linux,默认root,权限拉满,省去了提权。
但是只是拿到服务器还不够,我们还控制不了里面的虚拟机还需要拿到vcenter的web端的管理权限。
准备dump数据库下来解密登陆,但是一直dump不下来,因为哥斯拉的shell是半交互式,输入不了密码,索性加了个用户直接ssh去dump数据库的表
读取密钥
然后用脚本解密出密码
账密为
vpxuser/password.txt里的密码
有文章说这是web端的,有的说是服务器的。但是解密出来发现都无法登陆
最后换了种办法,把data.mdb拉下来生成cookie
先通过data.mdb生成三个txt文件
此处ip为目标ip,如果在内网记得挂上代理,要去请求才能生成cookie。vsphere.local为上面脚本跑出的doamin
打码处为vcenter ip,本地执行记得挂上代理,需要发送http请求才能生成
添加cookie后直接访问ip/ui,不要点刷新。
成功登陆。到这里基本上内网已经穿了,再打下去也没什么意义了,主要服务器都在vcenter集权管理了,后面就是生成快照,抓密码,就可以拿到服务器密码进行登录了。
四.成果展示
数据库
外网入口一台,vcenter一台
内网一台数据库服务器
vcenter集权平台外加核心服务器几十台
还有大量web端未授权敏感信息弱口令等等,不一一展示了
五.参考文章
https://blog.csdn.net/qq_63855540/article/details/142085758
https://mp.weixin.qq.com/s/PrZQo6IOJqzQ8nOmxtDx9Q
https://forum.butian.net/share/1893
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+交流群+靶场账号
哦
**分享后扫码加我!
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
