渗透项目实战 | 一周实战总结

  • A+
所属分类:安全文章
这周被公司派出去做一个内部演练的攻击方,苦逼地干了一周,终于搞完了,写点总结。
本次演练是某大型国企内部的,总公司要求我们攻击所有属于他们的资产,包括下属子公司的,只要证明是其资产即可。
与互联网公司不同,这种企业的网站管理比较混乱,基本不会围绕着自己的官网,也就是资产是分散的,连多个同C端IP都比较少见,所以我们采取的方式基本就是在fofa上靠关键字搜索,然后一个一个看。
这种方式效率很低,但是也没有别的办法,就算人工甄别也总有日偏的情况。


redis授权利用

是的,没看错,就是redis授权利用。
起因是找到了一个某某系统的弱口令,admin/123456,直接登进去开干。
进去之后才发现没啥能利用的功能,没上传点,没能执行命令的地方。
我不死心,找到这个地方尝试注入:

渗透项目实战 | 一周实战总结

加个单引号直接报错:

渗透项目实战 | 一周实战总结

绞尽脑汁构造语句,但是就是不顶用,本来准备放弃了,直到我把鼠标往下滑了滑,看到了这个:

渗透项目实战 | 一周实战总结

哇偶,数据库账号密码,好东西啊。
但是其实真正的好东西是这个:

渗透项目实战 | 一周实战总结

熟悉的感觉回来了,redis还贴心地给出了密码,shell来!
接下来就是熟悉的操作,连上之后写计划任务反弹端口,拿到的直接是root,真正的一条龙服务。

渗透项目实战 | 一周实战总结

没有继续深入,因为这台主机很破,破到啥都没有,也没有发现内网。


摸鱼时间

接下来几天都没有什么大收获,最多就是弱口令之类的,直到发现了一条大鱼。
我们直接在某省级公司的官网上找到个注入,等到我们把报告写好提交裁判组时,他们才发觉,匆匆下线了官网。

渗透项目实战 | 一周实战总结

Oracle数据库,DBA权限,这个让同事整了,但是他没提权,可能是没提下来,我也没追问。
一天早上我刚来,外派所在公司的人跟我说他们爆出来个mysql密码,居然还能外联,这运气没话说,而且他们对于爆破总是有种执念,比如尝试爆破3389,爆破ssh,这种笨办法有时候还真有奇效。
但是我拿到手才感觉坑爹,版本5.7,导出路径被限制在mysql安装目录下的upload文件夹,并且还不知道Web目录,实际上我们根本没找到对应的网站,因为根据资产显示这是个某某监控系统,但是我们访问此IP唯一能正常用的端口8001时,却发现是个静态某公司官网。
所以很尴尬,这个漏洞只能交个弱口令了事。


无用功

在找到官网注入那天,我们还找到个Adminer,刚好我是看过先知这篇文章的:记一次webshell的获取,所以发现这里能搞,同事就拿去搞了,因为我没有参与,所以图片可能不全。
Adminer被放在http://xx.xx.xx.xx/db.php:

渗透项目实战 | 一周实战总结

因为是laravel框架,所以去读取配置文件.env,得到了root账号的密码:

渗透项目实战 | 一周实战总结

之后再利用MySQL得到了Webshell:

渗透项目实战 | 一周实战总结

上去之后发现发财了,上面架了6个网站,一波包圆。
并且这台服务器是通内网的:

渗透项目实战 | 一周实战总结

权限是nt authorityiusr,看到上面有主动防御,就没继续了,还好没继续。
因为第二天裁判组告诉我们,这不是总公司资产,所以无效,哭了。

总结

最后的成绩不怎么好,整个过程里也没找到什么有点意思的洞,所以来总结一下自己接下来应该注重的点:
  • 针对零碎资产的快速收集,借助脚本等等
  • 钓鱼邮件快速构建,最好有各种样本
  • 已知第三方框架漏洞快速利用
总之,就是快速收集资产,快速打点,快速撕开口子,做到自动化武器化。

本文始发于微信公众号(安译Sec):项目实战 | 一周实战总结

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: