记一次授权渗透测试

admin 2022年8月20日14:55:57评论34 views字数 1285阅读4分17秒阅读模式

一:信息收集阶段

因为目标是学校,一般会去考虑收集学号,教工号。因为有的登陆点需要此类信息,且密码存在规律性(身份证后六位,123456)。

目标域名xxx.com      


开始的时候,我是直接通过github搜索是否存在敏感信息泄露,运气不赖,得到一个webvpn账户。语法:".xxx.com password"


效果如下:


记一次授权渗透测试


然后通过企查查,天眼查等平台,查询目标网站备案信息,爆破了一下

目标的子域名,尽可能收集的全面一些。在这里,通过在线域名查询的时候,出来很多子域名,但这些子域名点开之后,大多都跳转到了目标主页,利用价值不大。



所以我之后选择借助FOFA来继续查询,语法:domain="xx.com",发现存在一个oa系统,经检测,属于蓝凌OA。

记一次授权渗透测试


这里就直接借助工具测试了一下,成功拿到webshell。


记一次授权渗透测试


权限不是root,暂且放在这里。选择继续用webvpn账户进行探测。


二:WEBVPN突破


前期收集到的webvpn账户还没用,主页存在一个vpn系统,点击之后跳转到vpn.xx.com页面。输入账号密码,成功登录。


记一次授权渗透测试


登录之后,点击点一个系统进行查看,因为后台挂着xray,检测到了struts远程代码执行,借助工具进行验证,验证成功,可以执行系统命令。


记一次授权渗透测试


选择学工系统,利用刚刚爆破的账号,同样可以登录。学生信息处,可以进行上传,尝试利用,利用失败,但是在这里发现了一个有意思的点。修改Content-Type的类型为text/html,可以造成弹窗。


记一次授权渗透测试


记一次授权渗透测试


不过这个系统还是有可以利用的地方,具体参考

https://forum.butian.net/share/198

测试的时候,也挖掘到了一个sql注入。


记一次授权渗透测试


这里选择了利用刚刚远程代码执行的系统,进行深入,进行powershell上线cs,进行内网渗透,


记一次授权渗透测试


代理出来,进行内网扫描,探测web服务,以及ms17010.这里探测到一个web服务为云桌面,猜测是学校机房,密码很简单,就是123456.


记一次授权渗透测试


这里存在一些桌面服务的密码,F12,将type类型改为text,得到一串密码。因为是云桌面,根据经验一般存在域机器,直接探测172.16.0.0/16,查询主机名,发现域机器,这里我使用了刚刚F12查看到的密码,进行登录,发现成功登录,smb成功上线。


记一次授权渗透测试


因为是域控,可以直接控制学校某楼的机房远程开机关机,并监视。


最后收尾的时候,发现图书馆存在注入,同样是注入到表名,没有更加深入了。


总结就是:信息收集很重要,主要是暴露出来的OA和github搜索到的敏感账户信息,不然打进去不是这么容易,有0day除外。


记一次授权渗透测试


记一次授权渗透测试

推荐阅读   

【入门教程】常见的Web漏洞--XSS

【入门教程】常见的Web漏洞--SQL注入

sql注入--入门到进阶

短信验证码安全常见逻辑漏洞

最全常见Web安全漏洞总结及推荐解决方案

常见的Web应用的漏洞总结(原理、危害、防御)

代码审计常见漏洞总结

Web安全漏洞的靶场演示

13 款 Linux 比较实用的工具

xss攻击、绕过最全总结

记一次授权渗透测试

   学习更多技术,关注我:   

觉得文章不错给点个‘再看’吧

原文始发于微信公众号(编码安全研究):记一次授权渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月20日14:55:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次授权渗透测试https://cn-sec.com/archives/1244928.html

发表评论

匿名网友 填写信息