0x01 前言
其实想写这篇文章很久了,奈何工作比较饱和,涉事单位迟迟没有修复,所以就一直没写,今天接到通知,漏洞已经修复了,所以本着从实战角度出发,不忘记自己对技术的热爱,回归技术本质,从头来一遍真正的意义上的渗透测试,文章由真实事件而成,部分重要位置已做打码处理,核心涉密位置也已做脱敏处理。
谨以此文,那是一段美好又快乐的日子.........
0x02 前期准备
我接受到朋友的委托之后,根据提供的授权书信息指定目标进行渗透测试,目标比较大,具体是那个单位这里就不方便说了,先说说前期的信息收集我是怎么去做的。
第一步,全方位的去收集信息,并且分别列好图表
子域以及各个网站使用的中间件等其他信息:
C段以及各个网站使用的中间件等其他信息:
组织架构信息:
社会工程学——人员信息,密码本:
WAF信息等:
简单总结一下,无非就这些东西
第二步,对收集到的所有信息整合,分析脆弱点,也可以根据自己的需要去造轮子,写工具
分析发现几个后台位置,可以着重看一下:
VPN使用的是某服V*.**版本:
招投标人员泄露信息,几个重要人物泄露的信息:
使用的是**信的WAF:
几台服务器的端口可以尝试爆破一下:
几个服务器上使用的中间件可以测试一下:
有两个备份文件泄露:
做到这里,对目标的渗透准备基本就结束了,再根据收集到的关键信息,去自己原始积累的漏洞库里准备好需要的EXP和检测工具。
(PS:其实比较赞赏类似于零组漏洞库、狼组漏洞库、悬剑漏洞库、还有早些年的wooyun知识库,以及一些大佬们的博客漏洞复现过程,这些东西的存在无疑是每一位做安全人员的福音。因为,并不是人人都会积累足够多的东西,并且还愿意分享出来的。当然还有那些破解国外付费工具,制作GUI图形化武器的朋友们。)
0x03开始攻击
因为,前期已经做好了足够的信息收集,知道那些地方是要着重看的,这就像是已经准备好了足够“武器、弹药”,手里有家伙,做事才不慌。正所谓,不动则已,动则打它个体无完肤。
后台漏洞:
登入失败时,附带Gatag参数
会返回过来db的密码还有ssh用户的密码
通过base64解密发现数据库密码和ssh用户密码
直接可连SSH服务器:
连接后发现是单个的服务器,连边缘外网都算不上,故先暂时放弃这条进攻路线。
其余后台发现JS泄露初始密码,但早已修改,无法登入。
直接使用某服VPN**.**版本的0day进攻测试
成功连接至连接至内网!
对内网进行探索,进了内网这个时候就得慢慢的动了,看着应该有态势感知平台。
先从共享的文档中寻找蛛丝马迹:
(杂七杂八不重要的共享文档)
(杂七杂八不重要的共享文档)
(杂七杂八不重要的共享文档)
(重要文档)
根据获取到的信息,我们静静等待深夜(白天真的不建议连,鬼知道管理员会不会在)
凌晨4:30,连接,发现存在有360:
做个小免杀:
上号!
请教个巨佬要个骚姿势:
获取域控主机名:net group "domain controllers" /domain:
收集目标主机信息,发现一些后面也许有用的文件,先留好:
清理下痕迹,这可是个好东西(嘿嘿)
朋友想上去再看看,账号交给他,关灯上床睡觉。
睡到下午1点,朋友打电话过来了。
和我说拿到域控了,但是管理员发现他了。
当时我被手机的电话吵醒,有一点起床气,听他这么一说,顿时火就有点大了,赶忙打开屏幕,被控端已下线。
而且那边比较谨慎,直接先断网了,VPN入口被关闭
朋友一边给我道歉,一遍安慰我。
想想,没事,不是还有路子吗!
检测之前发现可能存在的漏洞的Weblogic
有之前未授权文件上传漏洞,可以getshell
准备提权试试?靠,站马上关了
感觉是触发了态势感知平台的报警。
这个东西还是有点用的。
此时就像是触发了一系列的连锁反应,很多原来能进去的站都关了,挂上了紧急维修的页面。
这感觉就像是捅了一下蚂蜂窝。
不过不慌,试试积累的密码本和信息,可不可以,
有一个进去了了,126邮箱,不过需要手机验证码认证。
(呜呜呜呜,心中一万只草泥马路过)
之前发出去的钓鱼邮件,也如同石沉大海一样,没有任何回应。
整个人绝望了,对面应急太及时,刚开个口就拦,有力使不出来。
0x04 绝处逢生!
之前的单个liunx服务器还在,上去看了一下,为什么我在里面做的那些动作?态势平台没有反应?现在还开着?东西就像是没有变过一样?!但是之前放在这里的马不见了?!
一个想法突然在我脑中出现:
没错!很有可能是蜜罐,我继续往上面放了几个文件,但是无一例外,第二天总会回到原来的样子,我猜测这是个会定时删除,定时启动的docker!
抓住这一点,只能碰碰运气试试了!
老板,换碟!
我们在实战的环境中,该如何判断服务器是不是Docker环境
第一种方式,搜索是否存在.dockerenv 文件
第二种方式,查看系统进程的cgroup信息
我们在环境中搜索,发现的确存在.dockerenv ,并且,也可以看到系统进程的cgroup信息!
尝试使用不同的EXP,逃逸docker:
成功获取主机shell!
芜湖!起飞!运维主机
这次不让朋友来了,自己一日到底!
运维主机上的宝贝:
上免杀马:
剩下的就是登入,截屏,登入截屏,好不快活。
整个周期时长:
信息收集2天
外网对抗5天
内网对抗5天
到此为止,已日穿,给朋友打电话。
