未经作者允许,禁止转载!
前两天收到渗透测试项目,为某医院的渗透测试项目,这次渗透也是比较坎坷,但最终还是进了内网
拿到目标,首先信息收集这里就不多说了,我是随手挑了一个,然后我看了一下已知漏洞(有弱口令),随即爆破了一手,一手弱口令就进入后台
后台里面的漏洞我就不说了,直接看重头戏,要拿shell肯定先找上传,这个系统是有一个任意文件上传的,但是是上传到文件服务器我就不说了,懂的都懂,我在翻burp数据包的时候看到了有个页面怎么这么这么熟悉
对,你说的对他是kkfile,当时眼前一亮,前一阵子不是刚爆出RCE漏洞,好了,稳了
但是,并没有什么用,这个版本太低了,RCE它不配,只能看了一下历史漏洞,有任意文件读取,SSRF,经过测试发现,也确实存在SSRF和任意文件读取,刚开始我也没想到用SSRF,我是想用文件读取读敏感文件
好,你以为这样就稳了,nonono,为什么没用,1、拿到的账号密码服务都不对外开放2、这个系统是nginx代理出来的,后面翻了一晚上文件,也没找到什么有用的东西,心态爆炸,睡觉
第二天ing,肯定有人会问了不是还有个SSRF,我知道你很急,但你先别急,你是不是想说用什么gopher写shell,好那我就写给你看看
好,防火墙,绕过防火墙继续写
好,又G,肯定有人要为什么,因为他是Java的程序,经过测试,现在只支持file协议和http协议,那就只能怎么办,只有探测一下内网地址了,根据之前收集的信息,一共探测出三个网段
时间已经到第二天下午,内网探测完稍微整理了一下思路,目前是只能对内网web服务发起http的get请求,就一个一个去访问网站了,为了访问方便,做了一个SSRF代理(参考大佬文章:https://www.yuque.com/pmiaowu/bomi9w/mbs0gw#YXnMc),现在是直接输入内网IP就能直接访问内网地址,但是有限制,只能get请求,登录上传一律没用
时间已经到下午六七点的样子,继续整理了一下思路,换个角度,他不是限制只能get请求,我就专门去找一些漏洞是get请求的,有了这个思路就去写了一个脚本,跑了一下8080端口
一个一个去访问,发现了一个好东西
没猜错的话这个可是有漏洞可以直接get写shell的,看一下未授权,好,有未授权,非常棒
直接放入burp里面去写shell,经过几个小时的编码上传访问加过防火墙,终于在晚上十点多钟成功写入shell(编码编的眼睛都花了,为什么不写入一句话直接连,因为他只能get请求,所以只能写一个带回显的shell)
至此,已经晚上十一点多了,测试执行命令,administrator,舒服
顿时神清气爽,漏洞打包,写报告一气呵成,再写完这篇文章,已过凌晨
写在最后:从这次渗透中也使我学到了很多东西,细心!细心!细心!思路要打开!
原文始发于微信公众号(渗透学习日记):记一次SSRF到内网漫游
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论