记一次XC环境下的闯空门

0x00 前言

本次渗透总体来说过程是较为简单的，但由于是第一次接触xc产品的资产，期间踩坑颇多，时间大都浪费在了信息搜集上和熟悉环境上，但所幸最后也是有所收获，于是小计一下，若有不对之处，望各位师傅指正。

0x01 开冲

开局客户提供了一张资产表，说明要求：只针对表中的资产做渗透，不进行内网横向，尽可能多的发现资产中的漏洞。

由于客户提供的资产表均为IP和对应的系统名称（基本是半个c段），简单做了下信息搜集，一轮下来发现了不少WEB资产，同时发现很多IP都开放了9060和54321端口但没识别到有效的指纹，9060端口识别到是一个未知中间件（不是常见的Nginx，Apache这类），但访问是404；而54321端口是完全没识别到指纹和banner信息。

不过很幸运的是，信息搜集完，其中有一个Apache-Shiro站而且还有key，看了下是个某依，随手试了下还有有弱口令，直接登了后台。

这里由于客户提供的资产关联性很大，于是简单做了下信息搜集，发现这个站点应该是测试站，并没有配置数据库，也没开放54321端口，但开放了上面提到了9060端口，这里确认了这个9060是某方通中间件默认端口，查了下这个中间件是有一个控制台的，可以通过war包部署业务，但是需要正确的URL才可以访问，直接访问端口会404。

顺手试了下中间件的默认口令，啪，直接进来了。

简单浏览了下后台功能，其中两个功能引起了我的注意，一个是应用管理，在这里找到了部署war包的功能（你懂的），还有一个是JDBC配置，这个站点没有数据库所以里面是空的。

好家伙，直接老六狂喜，扫端口可是发现了几十个9060端口，如果都是默认口令那不起飞，于是这里简单写了个脚本爆破了下（登录时口令会加密，这里直接通过模拟键鼠操作进行爆破），基本都是默认口令。

美汁汁，直接几十台主机拿下。

这里同时找了个有数据库的资产，看了下上面提到的JDBC配置，发现密码是加密的，瞅了眼JDBC链接，站库分离，数据库也没见过。。。

又查了下度娘，确认了是某仓的数据库，默认端口就是一开始提到的54321端口。

这里联想到中间件都默认口令，开发人员的安全意识可能不高，既然确认了54321是数据库端口，可以先爆破一波，简单查了下这个数据库的相关特性，直接下载官网的连接驱动，简单写了个脚本，开冲！

很慢啊，又是几十个数据库弱口令。

后面就是结合数据库信息对web资产进行进一步漏洞挖掘，比较枯燥，这里就不细说了。

0x02 后记

这次项目由于客户性质及业务组件特殊所以厚🐎了，望各位师傅谅解；同时关于某仓数据库，后面本地进行测试，发现在一定条件下只用数据库是可以RCE和提权的，各位师傅也可以尝试下，这里就不细🔒了。

原文始发于微信公众号（雁行安全团队）：记一次XC环境下的闯空门