这周被公司派出去做一个内部演练的攻击方,苦逼地干了一周,终于搞完了,写点总结。
本次演练是某大型国企内部的,总公司要求我们攻击所有属于他们的资产,包括下属子公司的,只要证明是其资产即可。
与互联网公司不同,这种企业的网站管理比较混乱,基本不会围绕着自己的官网,也就是资产是分散的,连多个同C端IP都比较少见,所以我们采取的方式基本就是在fofa上靠关键字搜索,然后一个一个看。
这种方式效率很低,但是也没有别的办法,就算人工甄别也总有日偏的情况。
redis授权利用
起因是找到了一个某某系统的弱口令,admin/123456,直接登进去开干。
进去之后才发现没啥能利用的功能,没上传点,没能执行命令的地方。
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
绞尽脑汁构造语句,但是就是不顶用,本来准备放弃了,直到我把鼠标往下滑了滑,看到了这个:
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
熟悉的感觉回来了,redis还贴心地给出了密码,shell来!
接下来就是熟悉的操作,连上之后写计划任务反弹端口,拿到的直接是root,真正的一条龙服务。
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
没有继续深入,因为这台主机很破,破到啥都没有,也没有发现内网。
摸鱼时间
接下来几天都没有什么大收获,最多就是弱口令之类的,直到发现了一条大鱼。
我们直接在某省级公司的官网上找到个注入,等到我们把报告写好提交裁判组时,他们才发觉,匆匆下线了官网。
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
Oracle数据库,DBA权限,这个让同事整了,但是他没提权,可能是没提下来,我也没追问。
一天早上我刚来,外派所在公司的人跟我说他们爆出来个mysql密码,居然还能外联,这运气没话说,而且他们对于爆破总是有种执念,比如尝试爆破3389,爆破ssh,这种笨办法有时候还真有奇效。
但是我拿到手才感觉坑爹,版本5.7,导出路径被限制在mysql安装目录下的upload文件夹,并且还不知道Web目录,实际上我们根本没找到对应的网站,因为根据资产显示这是个某某监控系统,但是我们访问此IP唯一能正常用的端口8001时,却发现是个静态某公司官网。
无用功
在找到官网注入那天,我们还找到个Adminer,刚好我是看过先知这篇文章的:记一次webshell的获取,所以发现这里能搞,同事就拿去搞了,因为我没有参与,所以图片可能不全。
Adminer被放在http://xx.xx.xx.xx/db.php:
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
因为是laravel框架,所以去读取配置文件.env,得到了root账号的密码:
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
![渗透项目实战 | 一周实战总结]( "项目实战 | 一周实战总结")
权限是nt authorityiusr,看到上面有主动防御,就没继续了,还好没继续。
因为第二天裁判组告诉我们,这不是总公司资产,所以无效,哭了。
总结
最后的成绩不怎么好,整个过程里也没找到什么有点意思的洞,所以来总结一下自己接下来应该注重的点:
总之,就是快速收集资产,快速打点,快速撕开口子,做到自动化武器化。
本文始发于微信公众号(安译Sec):项目实战 | 一周实战总结
评论