日常记录对某站点的实战渗透

近段时间来也没怎么更新，在这里就来水篇文章吧

前段时间一直在做项目，来分享并且记录一下自己的一些成果，和一些小思路

渗透的第一步肯定是信息收集了，因为由于项目的渗透条件有限，就不做子域名的采集了，超出资产测试范围。

打开网站，发现是个登录框，比较头疼的就是这样的情况，因为没有多少功能点。

wap 插件探测的指纹信息为 tomcat、jsp

shodan 插件显示开放端口：1099 3001 3306 5353 9090

nmap 扫描扫描出来 10081 端口，打开发现是同样的登录框页面

网站信息：

开放端口：1099 3001 3306 5353 9090 10081
数据库：mysql
服务器：linux
中间件：tomcat

网站的后台页面为 www.xxx.com/index.action

.action 结尾的可能是 st2 写的，直接拿 st2 的 exp 来打一下试试看，或许能有惊喜呢！

扫完后并未发现存在 st2 的反序列化漏洞

尝试万能密码和注入也不行，想想还是扫描目录吧

针对于单个站点，并且没有域名的网站还是直接上 dirsearch 快速的扫描一下，主要的还是扫描一些敏感目录。

python3 dirsearch -u http://xxx.com -e *

扫描到 WEB-INF 路径，打开后发现个目录遍历

翻找目录看看能不能翻到有用的东西，这里可以直接定位到 classes 目录一般配置文章都存放在 classes 文件夹中

发现里面有很多配置文件，在 jsp 中数据库的连接密码普遍会存放在 xxx..properties 文件中，打开 jdbc.properties

这里直接就显示了他的各种数据库的连接账户和密码

根据前面收集到的信息该数据库为 mysql 并且开放的端口为 3306 就可以直接连接他的数据库，如果权限大的话可以直接写入一句话 getshell

使用 navicat 连接：

数据库连接成功后，先来看看他的权限

发现该用户权限和 root 用户的权限相等，并且密码相同

因为这里没有绝对路径，所以先翻找表内容，发现在 manber 表里面 admin 的密码，md5 的值，拿到 md5 解密网站上面解密出来后，拿到后台进行登录

打开后台后，发现大部分页面点不开，上传点也没找到

但从这爆出了 web 目录的绝对路径可以记录一下，后台未找到上传点，回到数据库里面继续进行渗透。该数据库用户有读写权限，可以直接写入 webshell

查看 secure_file_priv 是否为空

SHOW VARIABLES LIKE "secure_file_priv";

先来尝试一下能不能直接写入 udf 执行命令，查询 plugin 插件目录所在位置

show variables like '%plugin%';

select unhex('7F454C4602010100000F696E697400') into dumpfile '/opt/thirdsoft-2.0/mysql-5.1.42/lib/plugin/udf.so';

显示无法创建写入 udf.so 文件，那么来试试直接写入 shell

SELECT 0x3c25407061676520696d706f72743d226a6176612e7574696c2e2a2c6a61c6a63732b253e into OUTFILE '/home/xxx/xxx-3.4.1/web/abc.jsp'

这里依旧写入不了，由于旁站啥的也没，所以这个点只能放弃了。

对于近期这些站还是比较头疼，尤其是对着各种登录框，功能点也比较少，能测的点不多。

关注公众号后台回复 0001 领取域渗透思维导图，0002 领取VMware 17永久激活码，0003 获取SGK地址，0004 获取在线ChatGPT地址，0005 获取 Windows10渗透集成环境，0006 获取 CobaltStrike 4.9破解版

加我微信好友，邀请你进交流群

备用号，欢迎关注

原文始发于微信公众号（刨洞安全团队）：日常记录对某站点的实战渗透