关注本公众号,长期推送漏洞文章
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!
故事的开始
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/9-1701911590.jpeg "[实战渗透]女神考研上岸了")
信息收集
下文开始,码的很厚,漏洞已提交,尚未修复。
对着fofa看一遍,没啥好注意的,没有看到常用的框架
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/5-1701911591.png "[实战渗透]女神考研上岸了")
资产较少(为下文打不出什么漏洞做伏笔),估计业务都在内网
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/1-1701911592.png "[实战渗透]女神考研上岸了")
使用零零信安(提一嘴,这个平台搜泄露和邮箱贼爽)寻找敏感数据
找到Dev环境SQL
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/9-1701911593.png "[实战渗透]女神考研上岸了")
找到相关用户信息
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/6-1701911594.png "[实战渗透]女神考研上岸了")
找到用户dev_admin用户密码,尝试登录失败后,猜测有相同密码其他用户。使用该密码去爆破其他常用用户
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/8-1701911595.png "[实战渗透]女神考研上岸了")
找到admin用户
登录后台测试
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/10-1701911596.png "[实战渗透]女神考研上岸了")
登录后台后发现功能太少,以以往经验来看,该用户可能只做基础管理,其他管理需要分配到其他用户
这时候直接把女神的密码改掉(毕竟小丑不配拥有密码)
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/4-1701911596.png "[实战渗透]女神考研上岸了")
然后权限直接拉满
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/6-1701911598.png "[实战渗透]女神考研上岸了")
用女神的账号登录后台再看一眼
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/8-1701911598.png "[实战渗透]女神考研上岸了")
我勒个豆,东西还真多(麻雀虽小,五脏俱全。)
找点有意思的东西
微信企业号:
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/8-1701911600.png "[实战渗透]女神考研上岸了")
资产太少,后台图片上传对接的是blob协议(Blob协议是一种用于在网络上传输二进制数据的协议,所以不经过服务器中间件。),所以上传不了webshell(我不会)
所以我们采用另一个思路,如果是教育服务器的话,那么应该会有一段网段是自有的ip,我们使用fscan进行快速扫描。
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/6-1701911600.png "[实战渗透]女神考研上岸了")
一波fscan之后,确认某网段为该学校资产,为啥呢?
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/0-1701911602.png "[实战渗透]女神考研上岸了")
这是一台华为的防火墙,打马赛克的地方是学校的名称,测试华为系列默认密码无果后放弃,继续寻找脆弱资产。
得到的另一个比较有意思的资产,一个Tomcat页面,下面进行一波弱口令测试。
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/3-1701911603.png "[实战渗透]女神考研上岸了")
打开神器Yakit
点击manager app进行抓包
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/10-1701911604.png "[实战渗透]女神考研上岸了")
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/5-1701911605.png "[实战渗透]女神考研上岸了")
这种登陆框需要base64编码后进行爆破
方法:
{{base64enc({{x(tomcat_user)}}:{{x(tomcat_pass)}})}}{{x(tomcat_user)}}:{{x(tomcat_pass)}})这是两个字典表示字典1:字典2
然后讲这个两个拼接的数据base64编码,这也是我从Burp该用Yakit的原因,有时候真的很舒服。
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/1-1701911607.png "[实战渗透]女神考研上岸了")
直接开始跑(看命了)
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/0-1701911607.png "[实战渗透]女神考研上岸了")
也是意料之中的跑出了口令(口令来源:上面的管理后台,有一堆手机号,把手机号导出来,放到临时字典里。知识点:在打一个项目的时候,如果最后实在憋不出东西了,那就把所有能看到的用户数据,比如名字简写,邮箱,手机号等信息做成社会工程学字典,然后爆破,可能有意想不到的结果。)
下面就是基操,上传war包,拿到shell。
war包制作
将a.jsp包压缩为a.zip,再将a.zip改名为a.war
最后在Tomcat上部署war包,当问url/a/a.jsp即可
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/9-1701911608.png "[实战渗透]女神考研上岸了")
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/10-1701911609.png "[实战渗透]女神考研上岸了")
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/5-1701911610.png "[实战渗透]女神考研上岸了")
成功拿到root权限
最后:
删日志,跑路。
![[实战渗透]女神考研上岸了](http://cn-sec.com/wp-content/uploads/2023/12/2-1701911611.png "[实战渗透]女神考研上岸了")
渗透结束,小李的“爱情”也结束了。
原文始发于微信公众号(知攻善防实验室):[实战渗透]女神考研上岸了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论