记一次卑微的渗透测试

admin
admin
admin
102231
文章
87
评论
2021年10月6日19:34:18记一次卑微的渗透测试已关闭评论95 views字数 1923阅读6分24秒阅读模式
图片
图片
本文约1800字,阅读约需5分钟。
随着攻防演练愈演愈烈,弱小的我也不得不加入攻防大军的队伍里,而本篇文章就记录了某次攻防演练中的getshell历程。在这次攻防演练中,初步利用工具批量打点无果,作为团队里卑微的撕口子工具人,只能选择一个站一个站硬啃。
图片
1
开始
又是熟悉的“开局一个后台”系列,初期重点选择没有验证码机制的后台去进行爆破:
图片
这里目录与账号密码同时进行爆破,然而不出意外,没有任何结果:
图片
图片
既然爆破无果,只能再试试其他的思路。
一般URI中带#的js多为webpack模块打包。于是决定再次从前台webpack打包的js接口入手:
图片
利用浏览器功能美化js文件,通过搜索path关键字,查找后台路由:
图片

通过构造路径进入后台,发现大部分接口存在二次验证。直接跳转至登录页,对path路径进行多次尝试,找到个人头像上传点。

测试直接上传jpg成功后,抓包尝试修改后缀上传webshell。但发现服务端直接对上传的文件进行了重命名,此条线索终止。
图片
随后,找到导入excel处尝试XXE:
图片
下载模板,解压后修改其中xml文件的内容,加入payload:
图片
上传后发现所添加的ceye平台出现了请求:
图片
其中有http请求,说明可以下载文件:
图片
修改payload为访问外部实体的语句:
图片
在vps上预先放置外部实体:
图片
开启http服务等待下载:
图片
之后上传文件,会触发服务器请求vps下载dtd外部实体的命令,进而读取内容。另外开启ftp服务以实现文件内容外带,尝试读取/etc/passwd中的内容。
这里直接在网上寻找的脚本:
https://github.com/ONsec-Lab/scripts/blob/master/xxe-ftp-server.rb
图片
尝试读取ssh key,读取成功:

/root/.ssh/id_rsa.pub
图片
对主机进行端口探测,发现22端口处于filtered状态,尝试连接发现超时,考虑到时间成本,暂时放弃这条路线。

图片

最后在个人中心处找到一个可下载的APP:
图片

打开app发现需要登录,且抓包发现与Web端登录接口一致,放弃尝试登录绕过,直接反编译apk,找到主界面的activity:
图片
通过adb 的am指令绕过登录界面,到达MainActivity(Android端一些APP手势密码绕过也可以利用此方法步骤,直接跳转到设置手势密码的Activity界面,通过重新设置手势密码来进行绕过,但是同样需要通过AndroidManifest.xml来查找相应的Activity名称)。
am start {包(package)名}/{包名}.{活动(activity)名称}
图片
到达主界面后发现提示登录错误,仍然存在二次验证:
图片
仔细寻找功能点。这里很累,因为如果请求没有身份认证通过,便会直接退回登录界面,需要一直利用am指令进行主页跳转:
图片
在订单流程处找到一处上传附件的地方,发现其对后缀名进行了白名单校验,放弃。
图片
最后发现app只有在网盘功能处,上传时不需要cookie认证,这里第一次进行上传时uri路径存在null参数,怀疑是用来获取用户昵称在服务端创建文件夹。
图片
将null修改为admin,虽然再次成功上传,但是没有直接返回文件路径,即使找到路径也很有可能是上传到静态目录,无法对脚本文件进行解析。
图片
虽然网盘很大概率是静态目录,但撕口子的迫切感让我不得不把握住每一次可能的机会,遂开始尝试查找路径。
在此APP下,要想查找上传路径有两种方法,一种是通过网盘在下载文件时查看是否会有文件路径,第二种就是根据上传接口去构造猜测文件路径。
当打开网盘界面时,发现在网盘加载文件列表时需要用户会话认证,没有即为空。
图片
白茫茫的背景图,让本不富裕的我更加雪上加霜。
图片
只能寄希望于最后一处更加渺茫的方法:猜测路径。
手工对URI逐级进行拆分:
图片
结果拆到第二步,惊喜就出现了,没有提示404,证明文件存在:
图片
好家伙,我直接好家伙,这居然还是system权限,花光了我一年的运气:
图片
shell已到手,打点工具人也该撤退了。
图片
2
总结
本文先从Web端入手进行渗透,在webpack模式下对后台查找未授权访问点,如上传跟XXE测试,测试无果后在后台发现apk安装包,转向防护相对薄弱的Android移动端进行渗透最终getshell。

因为初始目标明确,就是为了拿到webshell打开口子,所以进行渗透时都是奔着可以getshell的方式进行重点测试。
- END -
往期推荐
图片

PHP弱类型你真的懂了吗?

图片

pwn入门之栈入门

图片

MYSQL另类利用方式

长按下方图片即可关注
图片

相关推荐: 干货|Web常见漏洞/逻辑漏洞学习文档

获取方式:关注公众号回复关键词:文档 本文始发于微信公众号(乌雲安全):干货|Web常见漏洞/逻辑漏洞学习文档

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月6日19:34:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次卑微的渗透测试http://cn-sec.com/archives/566790.html