在过去2023的日子里,参加了某个地市的攻防,因此,想写下该文章总结下经验
免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
任意密码重置
通过微信小程序的密码重置漏洞打回web站点
账号:1866614xxxx,密码:你的新密码
同时该账号可以登录web系统的靶标,怎么发现的是因为该web通过findSomething插件发现和小程序相同的手机号泄露
用户管理功能中发现管理员用户
利用密码修改漏洞将管理员用户密码修改为新密码并成功登录,获取靶标web管理员权限:
1331814xxxx
新密码
获得大量敏感数据分
4964台摄像头权限接管
minio默认账号密码
通过minio默认账号密码进入获得大量政务数据
通过某靶标的web系统扫描全端口,在9000端口处是minio的站点
账号:adminminio
密码:adminminio
总计85.62GB
大量政务文件信息
曲线救国打法
通过对开发人员的测试系统突破再打回主靶标
由于靶标系统均上了安全设备,无法打的情况下,我们可以对该系统的开发公司找找,说不定有一模一样的系统在互联网上,通常是测试系统,做好后忘记关闭了,实属开发的锅,通过突破测试系统后,提权+远程桌面连接,在后续导出开发人员的浏览器账号密码获得主靶标正式系统的密码,从而实现打回主靶标
对靶标系统名称进行谷歌语法
系统名称直接搜寻,打开第一个链接
可以看到他们的产品
鹰图web.title搜索靶标系统名,查不到就web.body
可以看到该系统备案是开发公司的
登录框直接就是SQL注入(主靶标的系统一注就被WAF干掉)
DBA权限,直接--os-shell接管
后续提权+远程桌面+导出浏览器凭证不再复述,重点在于打点突破思维
AccessKey泄露接管云主机+RDS+存储桶
通过js泄露获得accessKeySecret和accessKeyID
通过js源码进行搜索发现有accessKey
一键CF工具接管阿里云
发现为root身份权限
成功接管5台云主机
接管存储桶
13个存储桶,都是一些源码文件以及sql文件
接管2台云数据库RDS-Mysql
以及最后接管阿里云控制台
为了不造成影响,接管后在执行取消接管控制台
小程序弱口令+Log4jRCE+AS泄露+Druid
通过一个弱口令打出更多漏洞
通过搜索目标单位的小程序
通过admin 123456就进去了
进入后台获得AppID和AppSecret
访问微信公众平台接口调试工具
地址:https://mp.weixin.qq.com/debug
输入微信小程序密钥获取token
通过token即可接管控制该平台小程序
可以控制小程序给关注的用户推送信息,高危操作不作演示
Druid未授权是通过Burp插件BpScan扫描到的
该危害可以使攻击者获得Session信息接管别的用户
同时再通过Log4jScan插件扫描到Log4jRCE
kkfileview文件读取Nday利用
通过该nday获得redis和mysql数据库权限
通过扫描全端口,发现开放8012端口,kkfileview,历史存在任意文件读取漏洞
通过拼接/getCorsFile?urlPath=file://d:\ 可读取目标机器所有磁盘文件,这里读取的是d盘
对磁盘文件进行深入读取
/getCorsFile?urlPath=file://d:\drug,发现类似源码文件
对其进行下载,寻找敏感配置文件:
发现mysql账号密码信息
获得mysql权限
获得redis权限
成功连接
密码猜测+SpringBoot泄露
通过公司名生成密码字典+mysql权限
这里是对林业局系统进行突破
通过开发商为广州坤盛信息科技有限公司推测,生成字典。
ksxx@2021
ksxx@2022
ksxx@2023
ksxx@2024
Burp爆破得到
账号:admin
密码:ksxx@2023
系统内可获取35台设备
可以获取740个人员信息,包括姓名、单位、级别、职务、手机号等
同时通过相同密码获得运维管理系统权限
再同时,Burp的SpringScan插件扫描到SpringBoot泄露
/ksp-forest/actuator/env
通过下载:http://url/ksp-forest/actuator/heapdump
获得mysql账号密码并成功连接
原文始发于微信公众号(WIN哥学安全):【攻防实战】地市红队攻防演练经验总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论