【渗透测试】反方向的RCE

admin 2023年3月8日09:46:04评论26 views字数 972阅读3分14秒阅读模式
【渗透测试】反方向的RCE



0x01  你以为RCE后就完了吗

    很多时候有小伙伴在getshell以后就不知道要干嘛了,在渗透测试中,getshell只是第一步,本文来自团队内部成员的一次实战分享,主要分享在后渗透利用过程中的一些技巧

0x02  先拿一个小shell

    测试发现目标存在Struts2远程代码执行漏洞,执行系统命令成功,并且是root权限。

【渗透测试】反方向的RCE

    通过 jps -v 命令找到网站web 路径

【渗透测试】反方向的RCE

    查找网站配置文件获取到数据库连接信息,通过查找数据库中的管理员账户密码登录管理后台。使用neo-regeorg

工具建立代理连接后本地连接数据库,发现该站点是站库分离的。

【渗透测试】反方向的RCE

    使用user_info表中的账户密码登录系统,发现账户密码错误。

【渗透测试】反方向的RCE

    猜测后台管理员使用的是另一张表,但是该数据库结构庞大,挨个查找比较麻烦,所以换一个比较简单的思路。

    网站用的是java 框架struts2 ,数据库是mysql;在客户端提交 http 请求到web 服务器,web 网站程序再到mysql 数据库去查询,最终判断账号和密码是否正确;这个时间使用 tcpdump 抓取连接mysql 查询时的SQL 语句,就能找到管理员表。

0x03  tcpdump流量抓取

    使用tcpdump命令进行抓包

tcpdump -n -U -s 0 -w /var/tmp/dump3306.pcap dst port 3306

    在前端重新发起登录请求,分析捕获到的流量包

【渗透测试】反方向的RCE

    从流量包中获取到登录使用的数据库表名gateway_user成功通过数据库中找到管理员对应的账户密码。

【渗透测试】反方向的RCE

    使用账户密码成功登录到管理后台!

【渗透测试】反方向的RCE


0x04  免责声明


    本文仅限于技术研究学习,切勿将文中技术细节用作非法用途,如有违者后果自负。



关于我们


“TERRA星环”安全团队正式成立于2020年,是贵州泰若数字科技有限公司旗下以互联网攻防技术研究为目标的安全团队。团队核心成员长期从事渗透测试、代码审计、应急响应等安服工作,多次参与国家、省级攻防演练行动,具备丰富的安服及攻防对抗经验。

团队专注于漏洞挖掘、漏洞研究、红蓝对抗、CTF夺旗、溯源取证、威胁情报、代码审计、逆向分析等研究。对外提供安全评估、安全培训、安全咨询、安全集成、应急响应等服务。


原文始发于微信公众号(TERRA星环安全团队):【渗透测试】反方向的RCE

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月8日09:46:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【渗透测试】反方向的RCEhttps://cn-sec.com/archives/1242232.html

发表评论

匿名网友 填写信息