领导要应邀去给某市委 搞一次讲座。于是希望我能提供点某市政府部门能影响比较大的安全相关材料。 于是就有了下面这一次艰难的入侵。
( e/ N$ L- f9 r& F# Q1 X( ^- ^
领导要求影响比较大,那么应该是涉及面广,最好能和金融靠边的系统。银行系统我没那个本事,但是搞搞他们本地自己建立的一些系统应该还是可以。于是综合了解之后确定目标是某市公积金中心。
- 低调求发展* ~- J" K% y6 i1 n
通过前期了解发现公积金中心LINUX机器,只映射了80端口对外开放。有S2漏洞,可以执行命令,使用S2测试工具发现是WEBLOGIC的中间件,以WAR包的方式发布,用户为受限用户,能读/etc/passwd文件,不能读/etc/shadow文件。上传SHELL没戏。
}, [1 X+ X& N/ q
继续扫描发现该系统使用了APACHE+JK_MOD反响代理,实际业务系统是http://127.0.0.1:7003/netface/。 运气不错,有破壳漏洞。于是测试得到一个反弹的BASE SHELL,悲剧的是 这个SHELL是NOBODY权限,一样用处很小。但是NOBODY 权限可以读很多其他文件,包括WEBLOGIC的配置文件。通过读WEBLOGIC的配置文件知道了,http;//127.0.0.1:7001/console是WEBLOGIC的控制台。 公积金业务系统的数据库地址以及连接密码。不过由于是内网,拿到这些数据库信息也没啥用处,站库分离,外网都不能访问。T00LS' ^" e- d# f/ Z7 P+
这个时候设想如下: www.t00ls.net0 _$ C( y( }$ P9 C; G" m4 `! U
使用端口转发工具将7001端口转发,然后连接WEBLOGIC的控制台发布一个WAR包,直接读取数据库拿数据交差。即使这么简单的一个事情折腾了我很久。 下面我细细说来。 - 专注网络安全: T5 m: b( k. Z0 C
- 低调求发展' ^% U' k. D3 _2 ^* _, n- p
前面已经说了拿到的SHELL权限很小,因此编译 LCX 什么的都没戏,不是没有权限就是缺少什么库,因此只能考虑PYTHON的脚本来作转发。每个LINUX系统有有默认的PYTHON环境的。 最开始使用了RTCP。PY这个工具(知道创宇开发),但是这个工具有缺陷 能连接成功但是转发数据容易出错,并且根本不能转发HTTP数据。
LS+ { F5 Z3 ^) p# x' P- I
后来在这里发了求助帖子,大牛@Ricter 给了https://github.com/RicterZ/reprocks这个工具,这个工具一样不能转发HTTP数据,但是SOCKS数据转发很稳定。不过这里陷入了一个僵局,就是当折腾一个系统太久后思维很单一,总觉得要直接转发HTTP数据。
- 低调求发展* z+ m, B* V. X0 d ]
但是后来才发现 其实使用常用的翻墙工具就能解决这个问题。后面会提到。
3 S+ p7 {$ K4 ]" i0 g
这时我想不出什么好的办法,不过能浏览目录,于是整个磁盘进行翻,后来发现有运行TOMCAT,TOMCAT下有个CMS CMS的上传目录的所有人是root,于是猜想TOMCAT是ROOT权限,于是到这里很兴奋,马上找CMS的上传漏洞,遗憾这个CMS是比较著名的公司开发的,目前网上没有公开的上传漏洞。
于是希望能拿到后台看看后台有无上传的地方。所幸,在本机上找到了CMS的MYSQL数据库,将用户信息cat出来,发现密码加密,不过看密码样式应该是对称加密。
这个时候就更纠结了 他们是怎么加密的? 网上搜索了下没有有效的回答,在本论坛发了个帖子被移动到八卦水区。,后来自己艰难的吧TOMCAT下面的登录程序下载下来 一个程序一个程序的分析,写了解密脚本。可以看这个帖子:https://www.t00ls.net/thread-29738-1-1.html。 进入后台 在附件的地方添加 允许类型.jsp 上传WEB SHELL上去 至此基本结束了。www.t00ls.net' w. |" S1 t8 k6 }
www.t00ls.net! h5 m( q: e: q- C# V2 c# J7 m"
后来逛的时候发现,其实在我有WEBLOG权限的时候 通过转发22 端口出来,使用MYTUN工具结合FIREFOX插件(SSH代理翻墙组合)是完全可以直接访问他们内网的。只是当时太笨了。
因为本来是连接数据库拿数据,也就没坐内网渗透,也没感装SSH后门了。怕出事。
www.t00ls.net; J) Z( z' i3 p/ x3 x. q
原文链接:https://www.t00ls.net/thread-29751-1-1.html
本文始发于微信公众号(T00ls):一次艰难的内网渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论