声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！

背景：

隔一段时间就有师傅问是不是犯事被逮捕了，先给师傅们报个平安，人还在。太久没更新是因为懒，新年的一年决定不再摆烂！

本文分享下之前地市hw的经历，当时喜提第二，但漏洞其实非常简单，各位师傅谁上都行（文章打码部分请师傅们见谅）。

Web打点

1. oss key泄露

第一个目标网站挂在阿里云上带着zg字样，一看就不同寻常，脑海里甚至出现与waf一番苦战的场景了，没想到。。。。。

    

      没想到同ip的其他系统，开发直接把oss key和secret写在js里边（老板：好好好，开发扣工资！），拿到key和secret直接拿工具验证一下，root权限。

     

由于直接用cf工具会触发短信告警，参考下边的文章绕过。

【Web实战】阿里云手动接管云控制台（保姆级别教程不触发告警）

链接：https://forum.butian.net/share/2545

关闭告警后，剩下的就简单了，在网站的配置文件里边找到数据库账号密码，发现主机上有电力app相关的用户50w+信息。

这里顺带推荐下hxd的找敏感文件工具searchall，解放双手，直接拥有。

https://github.com/Naturehi666/searchall    嗨嗨安全

2. struts2

第二个目标在企查查和天眼查上都没有发现web资产，但关注公众号后发现引入了一个第三方的web系统。

     在这个网站下发现struts2漏洞，又狠狠地收获一枚shell。

上传木马，然后cs fscan minikatz启动一气呵成，获取到餐卡系统，大屏系统，重要数据库等一重主机权限。

3.万能密码

第三个目标是地产中心，通过用户admin’ or 1=1--+登陆系统，在用户名处存在sql注入，直接可以通过os-shell获取权限，但系统上存在某锁杀软，技术有限也没有花时间在此处（后边听说有两哥们躲在厕所里一下午，连上wifi把人家分刷满了，我只能说艺高人胆大）。

4. ueditor任意文件上传

第四个目标是xx财务平台，findsomething没有匹配到它的路径，手动翻js才找到相关路径发现ueditor编辑器（建议师傅们还是自己编写正则，工具有些正则没匹配上可能漏掉关键信息）

     连接马儿后查看ip跟靶标在同一个网段（ps:10段的总让我有种安全感），ping靶标发现网络是通的，这分数也是稳稳拿下。

5. 先人种树

第五个目标，当我还在庆幸，又扫出一个后台并搓手准备大展拳脚之时，我的伙伴已经告诉我，无需再看，他已经拿下了，当我还在思考他使用何种手法拿下网站时，他悻悻地告诉我，前人栽树后人乘凉。

       不知道是开发这样设置的还是在php里面留了🐴，可惜的是台云服务器，就没继续深入了。

近源

      由于本次hw和某次历史文章属于同一次hw，偷个懒贴个链接。

记一次某医院渗透（近源）

年后碎碎念：

过年面对亲戚的问询，父母的催婚，隔壁二姨夫的儿子又买上x馬五系。总是想着，开工就好了，开工就不会受到这样的羞辱了。

可真到了开工，每天想的却是这窝囊费赚的什么时候是个头，好想回家，好想回到熟悉的街头，卖卖烤肠，和小美度过美好的后半生。唉，人真是矛盾的动物。

顺便应师傅们要求弄个24年hvv沟通交流群，群人数满了可以添加群主微信拉。

点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。

原文始发于微信公众号（众亦信安）：hvv之捡漏的艺术