记一次授权实战

  • A+
所属分类:安全文章

0x1前言

好久没写文章了,写一下最近的一个实战,仅供笔者记录与学习

0x2前期信息搜集

IP,端口,whois,目录扫描这些就不多说了,做是做了,虽然没啥用。记录一下这次的一些不一样的信息搜集。首先,在目标官网上发现一处公公众号二维码,就不放出来了,放出来必死。关注后抓包,发现一处信息泄露,泄露了几百个用户姓名,电话号,邮箱等信息

记一次授权实战


用python爬取这些信息中的姓名,电话号码,等有效信息,做了一份字典

0x3突破口

字典就绪过后,尝试爆破后台,无奈有验证码+登录次数限制,无奈放弃爆破。继续寻找,发现一处注册页面可上传文件

记一次授权实战

改后缀上传失败,发现有安全狗waf

记一次授权实战


这里采用双写filename的方式绕过安全狗,并成功上传

记一次授权实战


这里返回了半个路径,经过一段时间的fuzz,找到了目录,但使用冰蝎3连接失败,目标报错信息如下

记一次授权实战

报了个无法编译的错,经过测试我发现这里会对文件头进行一个检测,也就是必须带图片头,才能正确上传,所以我上传的jsp都是带有一部分文件头的冗余的,分析了一下原因报错原因
1、waf的锅
2、百度了一下说可能是tomcat版本过低
3、文件头的锅导致不能正常解析

0x4解决问题到内网

本地测试了一下waf,发现冰蝎的马是可行的,那么剩下的问题,我用以下方式解决掉
1、换成冰蝎2的马
2、文件头用注释符注释掉,让其不影响webshell的解析

类似与这样

记一次授权实战

成功解析getshell

记一次授权实战

稍微看了下网络环境,win2008r2,站库分离,目标不出网,开放3389

目标不出网采用regeorg+proxifier的方式,把本地流量带入内网,参考我的博客

https://www.cnblogs.com/lightwind6/p/15029506.html

这里单纯用regeorg是行不通的,因为有waf存在,流量包会被拦截,所以可以采用一些加密的手法,用regeorg升级版
项目地址

https://github.com/L-codes/Neo-reGeorg

成功把流量带进内网

记一次授权实战

抓浏览器密码,本地密码

记一次授权实战

翻文件找到mysql数据库密码,找到sql服务器

记一次授权实战

proxifier代理nivicat.exe成功连接,获取到大量的密码

记一次授权实战


sql服务器开启3389,通过获取到的所有密码,爆破3389端口,成功横向到GET到内网sql服务器

记一次授权实战

0x5后言与探讨

因为时间的原因,这次实战到这里就结束了,剩下一些机器全是一些网关之内的东西,就没继续下去了

一些未解决想探讨的问题:

发现这台机器处于一个openstack+cloudinit搭建的虚拟实例中,应该怎么去逃逸,希望各位大佬教教弟弟


作者:一只发黑的苹果,文章来源于先知社区


记一次授权实战
干货|渗透学习资料大集合(书籍、工具、技术文档、视频教程)
记一次授权实战

记一次授权实战

如文章对你有帮助,请支持点下“赞”“在看”

本文始发于微信公众号(HACK之道):记一次授权实战

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: