地市攻防演练-shiro反序列化

针对普通登录框的系统相信大家都测试过许多，常见的一些测试方法也都不用再过多去说，这次主要分享一个首页是ningx的页面是如何通过目录扫描一步步突破的。

首先访问首页看到的就是一个平平无奇的nginx页面信息，当时攻防演练的资产也比较有限还得自己找，所以还是要硬着头皮去试一试，万一成功了是不是。

     主页面没有任何的信息所以我们这里一般有两种思路，一种是如果有域名能够关联到具体单位的话可以通过微信小程序去搜索一下看能不能找到对应的接口；

    另外一种就是通过目录扫描去扫描下看能不能扫出来一些敏感的目录来进一步进行测试。（还有其他思路的话欢迎师傅们补充）

    这里就是通过了第二种的方法才突破的，很熟练地把我的dirsearch打开对网站进行扫描

    很幸运扫到了一个mobile的目录，打开来赫然就是一个登录页面，O(∩_∩)O哈哈~

这下目标就很清晰了，没有验证码，直接尝试爆破弱口令看能不能进入到后台，运气比较好，爆破出来一个人名拼音简写密码是弱口令的。

    返回包里面居然还有用户的身份证、手机号和密码等信息，迫不及待地就要登录到系统里面看看了。

结果输入账号密码一登录却发现不太对劲，怎么登录不进去？

     试了好几次发现都是一样的结果，这时我意识到开发可能只是简单写了一个返回用户信息的接口，返回包里面连cookie这类的凭证信息都没给我，怎么可能能够登录进去。（可恶的开发）

    没办法，只能再想想其他办法了，于是开始翻起来了js文件，很幸运又找到了另外一个接口地址，拼接打开果然又是一个后台的登录页面。系统过于敏感，就不放截图了。

        接下来又是一顿常规操作爆破弱口令什么的，很遗憾没有爆破出来用户名密码信息，用之前爆破出来的那个账号密码登录但是也登录不进去。难道就这样了吗？

    一顿操作下来没有啥突破口，这时打开了burpsuite的首页惊喜地发现被动扫描扫出来了shiro的命令执行，直接起飞。（图没截，就是一个burp里面的插件）

    接下来就是通过工具写入木马然后进入内网了。上传fscan对内网进行扫描。内网机器很多，扫出来100多个ftp和ssh、redis等弱口令。

本来以为可以打卡下班了，审核却说这次内网的分不算，不能打内网。搞了半天白打了，只拿到命令执行100分。

    没办法，只能再看看外网。通过翻阅网站目录发现除了前端发现的那个目录还有一个其他的目录，这些目录里面登录页面会不会有弱口令呢？找到一个尝试弱口令登录，果然有弱口令admin   123456直接进去了，哈哈。但是登录成功却发现是一个空白页面。什么鬼

    但是确实获取到了后台返回的cookie字段，这是突然想到这些系统都在一个大的目录下面会不会相互之间可以互相访问？果然，将链接改为之前前端发现的那个页面直接登录到系统后台了。

    不看不知道，一看吓一跳，系统里面涉及到区里面所有人员的家庭户籍信息，数量算了一下有好几百万条。信息泄露分直接拿满，打卡下班。

    首先这次测试和以往的不太同，通过目录扫描打开了突破口从而才有了一些后续的漏洞成果。

    其次从开发层面考虑，首先是使用了具有漏洞的shiro版本导致系统服务器存在被控制风险，然后就是不同系统之间鉴权相互互通，某个系统存在弱口令直接导致其他系统实现。