从公有云到渗透进内网漫游

0x01 前言

当一个企业把他的业务放到腾讯云或阿里云等公有云的时候，其是与企业的内网是不相通的，相当于逻辑隔离了(非物理隔离)，如果企业信息安全做的相对较好，不暴露VPN地址或者路由器或防火墙业务，信息收集的时候，是很难进精准定位到企业的内网使用的公网地址的。这个时候，想要渗透内网相对困难。

下面就介绍一下我从公有云到渗透进内网进行漫游的实际渗透过程。

怎样拿下云服务器的不是本文重点，故不做详细介绍，只简单介绍思路。

根据公司名字，直接百度，发现官网地址。根据官网地址，进行了一波信息收集：

1. 发现站点使用了CDN，是腾讯云主机，ip是变化的，无法探测真实IP；
2. 发现存在任意命令执行漏洞。直接RCE，拿下服务器权限；

先看下ip地址

发现显示的是内网地址，这个时候，查看下真实的ip，虽然这个对接下来的内网渗透没什么diao用。

到此才发现是腾讯云，主机不在内网。

0x03 想办法打内网

这个时候，我就要办法获取公司办公网的外网IP了，这个外网ip要么是防火墙的，要么是路由器的。怎么获取呢？我想到了一个办法，一般云主机，运维人员会通过ssh来进行管理，一般在上班时间，他们会连接进来，这个时候，就会获取到公司的真实公网IP。

教大家一个小技巧，如果是小公司，运维可能十天半个月都不会连上来，这个时候，我们就可以搞点“小破坏”，逼迫运维上线。

比如关闭它的web服务等等，大家千万注意两点：

1. 动作不要太大，免得被运维发现被黑，当然你可以提前做权限维持，这里不做介绍；
2. 没有“授权”，千万不要乱搞；没有授权，千万不要乱搞；没有授权，千万不要乱搞，否则就会进局子吃免费的饭了，咋不能干违法的事，哈哈。

[root@VM-0-13-centos~]# netstat -lantp | grep ESTABLISHED

0x04 对上面的IP进行渗透

同样繁琐的事情来一波，信息收集。。。发现了shiro发序列化漏洞，直接反弹shell了

我这里使用了修改版的frp，利用远程加载配置文件的方式，稍微躲避一下，增加一点点溯源的难度：

攻击成功（这张图是后来补的，信息可能不一致，但原理一样）。

看下权限是system最高权限，省去提权了。

发现了这个，虚拟机备份，这个可以使用本地认证，有搞头。。。

还发现了群辉NAS

3台Vcenter，虚拟机超多呀，粗略看了一下，几百台。。。。全部可以接管了

0x06 总结

1.通过搜索目标公司名称，查询公司的官网地址，并进行信息收集，发信对应的IP存在CDN服务，无法获取到公司真实地址，且公司的子域名处存在远程命令执行漏洞，拿下服务器权限。
2.通过冰蝎远程连接，并执行命令查询ip地址（ifconfig）,发现IP地址都是内网地址，以及公网地址，查询公网地址但还是腾讯云IP
3.需要获取到目标公司的出口公网地址，这里我们可以让目标站点进行WEB服务宕机以及异常（需要授权，如关闭服务以及导致WEB服务流量异常），那么运维人员就会登录堡垒机，并登陆到腾讯云主机进行查看WEB服务。
4.这时候可以查看网络连接，并获取到目标公司的出口公网地址
netstat -lantp | grep ESTABLISHED
5.通过信息收集，发现目标公司公网的IP某个端口出，存在shiro反序化漏洞
6.执行命令查看IP地址，发现目标是内网地址:10.10.10.187,并测试是否通外网
ping  www.baidu.com
10.通过frp+Proxifier或者proxychains进行socks5代理，这里需要设置frp的密码以及简单加密
12.通过proxifier加载fscan对目标内网进行端口扫描，发现10.10.10.105存在ms17-010
13.通过proxychains加载msf运行，并使用ms17-010模块进行攻击,并mimikatz获取明文
msf>use  exploit/windows/smb/ms17_010_eternalblue
msf>set   rhosts   10.10.10.105
msf>run
meterpter>getuid  //显示是system权限
meterpreter>load_kiwi //加载mimikatz
meterpreter>creds_wdigest  //获取hash值
14.获取到了管理员的密码，发现开了3389，直接走proxifier的socks5代理登录远程桌面
15.进入系统后发现有虚拟机，虚拟机中使用本地认证，登录虚拟机后，发现是群辉NAS
16.在群辉NAS中有vmware vsphere，其中有3台vcenter