记一次SSRF到内网漫游

admin 2024年7月3日09:07:55评论10 views字数 1193阅读3分58秒阅读模式

未经作者允许,禁止转载!


前两天收到渗透测试项目,为某医院的渗透测试项目,这次渗透也是比较坎坷,但最终还是进了内网


拿到目标,首先信息收集这里就不多说了,我是随手挑了一个,然后我看了一下已知漏洞(有弱口令),随即爆破了一手,一手弱口令就进入后台

记一次SSRF到内网漫游

后台里面的漏洞我就不说了,直接看重头戏,要拿shell肯定先找上传,这个系统是有一个任意文件上传的,但是是上传到文件服务器我就不说了,懂的都懂,我在翻burp数据包的时候看到了有个页面怎么这么这么熟悉

记一次SSRF到内网漫游

对,你说的对他是kkfile,当时眼前一亮,前一阵子不是刚爆出RCE漏洞,好了,稳了

记一次SSRF到内网漫游

但是,并没有什么用,这个版本太低了,RCE它不配,只能看了一下历史漏洞,有任意文件读取,SSRF,经过测试发现,也确实存在SSRF和任意文件读取,刚开始我也没想到用SSRF,我是想用文件读取读敏感文件

记一次SSRF到内网漫游

好,你以为这样就稳了,nonono,为什么没用,1、拿到的账号密码服务都不对外开放2、这个系统是nginx代理出来的,后面翻了一晚上文件,也没找到什么有用的东西,心态爆炸,睡觉

记一次SSRF到内网漫游

第二天ing,肯定有人会问了不是还有个SSRF,我知道你很急,但你先别急,你是不是想说用什么gopher写shell,好那我就写给你看看

记一次SSRF到内网漫游

好,防火墙,绕过防火墙继续写

记一次SSRF到内网漫游

好,又G,肯定有人要为什么,因为他是Java的程序,经过测试,现在只支持file协议和http协议,那就只能怎么办,只有探测一下内网地址了,根据之前收集的信息,一共探测出三个网段

记一次SSRF到内网漫游

时间已经到第二天下午,内网探测完稍微整理了一下思路,目前是只能对内网web服务发起http的get请求,就一个一个去访问网站了,为了访问方便,做了一个SSRF代理(参考大佬文章:https://www.yuque.com/pmiaowu/bomi9w/mbs0gw#YXnMc),现在是直接输入内网IP就能直接访问内网地址,但是有限制,只能get请求,登录上传一律没用

记一次SSRF到内网漫游

时间已经到下午六七点的样子,继续整理了一下思路,换个角度,他不是限制只能get请求,我就专门去找一些漏洞是get请求的,有了这个思路就去写了一个脚本,跑了一下8080端口

记一次SSRF到内网漫游

一个一个去访问,发现了一个好东西

记一次SSRF到内网漫游

没猜错的话这个可是有漏洞可以直接get写shell的,看一下未授权,好,有未授权,非常棒

记一次SSRF到内网漫游

直接放入burp里面去写shell,经过几个小时的编码上传访问加过防火墙,终于在晚上十点多钟成功写入shell(编码编的眼睛都花了,为什么不写入一句话直接连,因为他只能get请求,所以只能写一个带回显的shell)

记一次SSRF到内网漫游

至此,已经晚上十一点多了,测试执行命令,administrator,舒服

记一次SSRF到内网漫游

顿时神清气爽,漏洞打包,写报告一气呵成,再写完这篇文章,已过凌晨

记一次SSRF到内网漫游

写在最后:从这次渗透中也使我学到了很多东西,细心!细心!细心!思路要打开!

原文始发于微信公众号(渗透学习日记):记一次SSRF到内网漫游

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月3日09:07:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次SSRF到内网漫游http://cn-sec.com/archives/2837388.html

发表评论

匿名网友 填写信息