前言
月黑风高夜,键盘卡卡响。收到一个攻防的通知,带上我的小书包,穿上我的格子衫就是一个字"冲"!
主要成果
成果一:某管理系统任意文件上传/sql注入+内网横向
成果二:某平台Zabbix反弹shell+内网横向
成果三:某单位弱口令文件上传+内网横向
成果四:某单位nacos Nday配置泄漏打穿整个云
成果五:一些OANday利用以及sql注入
成果六:一些越权数据
成果一
-
弱口令
-
7777端口 文件上传(失败)
-
5222端口 文件上传 成功 getshell
-
sql注入 getshell
-
内网渗透
外网打点
http://www.xxxx.com:7777/ 弱口令后台
后台文件上传,上传🐎一直报错拦截,正常文件能解析
后面发现5222端口开放服务,存在sql注入并且dba可以写shell,文件更简单直接传无防护
内网渗透
可以发现10.2那台存在安全狗waf,也是我们之前打的7777
上线cs后,dump出密码hash,直接搭个隧道远程连接
发现IIS站群控制五个站点
扫出数据库弱口令,
[+] mssql:192.168.10.2:1433:sa 123456
[+] mssql:192.168.10.5:1433:sa 123456
挂上代理,利用xp_cmdshell直接拿下另外两台服务器
还有一些msf17_010
成果二
-
zabbix getshell
-
内网渗透
外网打点
http://xxxx:8000/zabbix/zabbix.php?action=dashboard.view 默认口令admin/Zabbix
进入管理后台利用server脚本反弹shell
上传les.sh脚本利用cve提权至root
入口机器为docker集群
一台数据库
还有一些其他的Web站点,可控制的设备挺多的...
成果三
-
弱口令
-
文件上传 免杀getshell
-
内网渗透
外网打点
http://xxx.com/ 猜测单位人员弱口令
进入后台头像可以上传,前端验证后缀直接改
尝试直接传🐎发现502,测试无危害内容正常解析,大概率是内容检测,直接上免杀🐎
没有被杀,头几次连接都返回空,测试了很多免杀🐎都不行,开始怀疑人生,后面换个浏览器发现他会跳到登录界面,想到应该是会验证登录的Cookie,于是直接蚁剑加个Cookie头连接成功
内网渗透
内网服务器3台+Web控制权限2个+数据库4台+居民身份信息9W+。图片不方便放...
成果五
Nacos配置泄漏打穿他的整个云
http://xxxx.com/
需要自己拼接nacos路径,arl没识别出来这个...
nacos密钥后门
进入之后泄漏
accessKeyId: xxxx accessKeySecret: xxxx
cf一把梭
直接接管整个云
4台ECS
全部拿下
其中一台截图
1台RDS
直接新建一个用户成功拿下数据库
成果六七八
剩下的都是些越权数据以及sql注入的数据啥的,还有的就是打进去拿到shell就关站了...
原文始发于微信公众号(炮炮安全):记某次攻防演练
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论