前言
某次hw中,靶标设为了门户,其中路径分打满5000,靶标拿下5000,算了算了还是靶标香,结果一看,给我整不会了,靶标整到虚拟主机上去了。。还静态。。
好在其他目标过于难啃(兄弟们太给力了,就我没产出),兜兜转转又回来看了下这个目标,结果就发生了很有趣的事情
Start
门户网站http://www.xxx.com
通过ping得知域名解析到CNAME web.v1135.xxx.com
访问CNAME跳转http://stopnote.xxx.com/?host=web.v1135.xxx.com&refer=
点击“进入控制面板”跳转到独立控制面板
https://www.myxxxx.net/
通过页面底部ICP备案号(蜀ICP备xxxxxx号-x)在搜索引擎中查找
找到IDC厂商为XXXX https://www.xxxx.cn
这个时候有点无奈了,hw一般都是要求短频快的拿分,总不能为了一个靶标把IDC打了吧,黄花菜都凉了
试了试先挖点低危的漏洞
忘记密码处存在用户名枚举
当用户不存在时提示无此用户
用户存在时跳转至安全验证
根据域名(.com)猜到账号为xx
根据忘记密码的密保选项得到部分邮箱和手机尾号 [email protected] xxxx098
有意思,又来了个.cn的域名
对x.cn进行子域名枚举找到SRM系统 http://srm.xxx.cn:8082
登录页面找到一处Shiro反序列化漏洞
权限为Administrator,直接部署war包getshell
利用Mimikatz工具导出SRM系统服务器口令,共拿到4个口令
登录其中remote账号,发现桌面存在Mysql管理器
并在xxxx库xxxx_user表中发现3000+员工账号信息,包含姓名、邮箱、密码等
在表中查找预留企业邮箱的记录,撞库成功 [email protected]
咦,又到.com了
利用账号[email protected]登录企业邮箱 mail.xxxxxxx.com
在往来邮件历史中找到该员工的内部邮箱账号 [email protected]
通过对xxxxx.cn子域名枚举找到邮箱系统mail.xxxxxxx.cn 使用邮箱客户端登录成功李xx账号 [email protected]
这个邮箱貌似没啥有用的东西
通过对xxxxxx.cn子域名枚举及端口扫描找到VPN登录地址
https://vpn.xxx.cn:10001
利用李xx工号(0xx2)成功撞库登录VPN
VPN貌似也没啥用。。靶标不在内网。。
不过由此得知工号在目标单位多作为账号 根据工号批量爆破00010000至00019999的VPN系统 密码采用企业弱口令,得到大量VPN账号 如0xxxxx2
使用VPN爆破出来的弱口令撞库登录SSO http://idm.xxx.cn/
通过SSO免密登录EHR员工自助人力资源系统
利用EHR系统快速找人功能检索门户网站密保邮箱后缀[email protected](不记得咋来的自己往回翻)
筛选检索结果中尾号为098对的员工,找到x伟[email protected]
Bingo!邮箱手机都对的上,部门瞅着也很合适
然后尝试了下弱口令结果失败了,
于是通过之前互联网泄漏的老密码查询,通过x伟手机号找到历史密码
利用历史密码撞库登录SSO系统成功
通过SSO免密登录邮箱
怕打草惊蛇,先将IDC的邮件添加收信规则放到垃圾邮件
通过IDC找回密码功能重置账号密码
卡在了密保问题上
只能尝试十次,通过EHR中个人档案的身份证前六位由小到大猜测,正确答案某省
登录IDC,拿到门户网站ftp账号密码及数据库口令
登录FTP拿到靶标系统控制权限
写入演习指定验证文件
摸鱼完毕
整体攻击链
原文始发于微信公众号(雁行安全团队):某次hw中对某虚拟主机上的靶标攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论