前言
0x01 简单测试
前期大佬们已经整理好了资产文档,先对分配给自己的资产进行测试。自己先对一些框架漏洞和弱口令等进行测试。
这里我主要使用了两个指纹识别工具:Ehole和Finger:
(1)EHole:
https://github.com/EdgeSecurityTeam/EHole
很有名的一款指纹扫描工具,会在最后输出重点资产列表可以很快进行重点测试,但是输出文件时的json文件没有对重点资产进行排序,数据结果略混乱。
使用截图:
输出结果文件:
(2)Finger:
https://github.com/EASY233/Finger
个人最近发现的一款指纹扫描工具,指纹库略有不足,但是可以替换为EHole的指纹库,优点在于它的输出结果为excel表格,并且有限输出重点资产。
使用截图:
输出结果文件:
这次的测试只发现多处弱口令存在,并且未能成功获取服务器权限,只好直接Web后台管理权限,获取了寥寥的几百分。
0x02 第一处Webshell
对资产深入测试常规的一些SQL注入、文件上传等漏洞。这时大佬在群里提示说在某部门的一处管理平台有个ueditor编辑器,可能存在漏洞。自己立马访问看了看,根据网上POC进行复现。
首先本地构造1.html,代码如下:
服务器放置图片马1.gif,利用python起1个简单的web服务:python3 -m http.server 12345。
回到本地访问1.hml,shell地址为http://vps:12345/1.gif?.aspx,点击Submit执行。
Burpsuite响应包显示成功上传文件。
但是无法成功访问到文件地址,重复多次均未成功。
正当自己准备更换目标时,突然心血来潮扫了一下目录,竟然在上面发现/Upload页面,响应码为200,这不立马查看一下。
访问发现页面json格式报错上传失败。
为什么会报错上传失败呢?自己猜测这里应该是可以上传文件的,但是因为直接访问时,未进行上传操作,所以提示上传失败。
考虑如何进行上传,想到两种方式,一种是在当前的页面修改元素添加上传表单;一种是直接在本地创建一个上传页面。这里我使用了第二种:
构造HTML页面:
访问页面,尝试上传正常图片。
成功上传。
这时我们已经可以尝试上传木马文件,但是系统会对上传文件后缀进行判断,并且进行重命名处理,这里尝试绕过,最后发现使用.png?.aspx即可成功上传。
使用冰蝎也成功连接。
这之后就是内网渗透了,自己利用免杀马成功上线CS,然后利用甜土豆成功提权。
然后扫C段,C段中同样存在多个该Web框架的主机,利用漏洞均成功拿下。
最后还是师傅们指点使用Tracert命令发现了别的IP段,直接上fscan梭哈让目标出局!自己只根据子网掩码和网络链接判断位于C段草草了事,确实没想到还有其他的段,又学到了一手。
因为该系统下方有供应商的名称,通过查找供应商的官网,发现一些网站案例和客户案例。
通过fofa找到了这些系统后,发现同样存在任意文件上传的问题,均可以成功getshell。
可惜数量不太够,只能冲一波事件型漏洞了。
0x03 总结
这次应该算是自己第一次从头到尾参与的一次HW项目,总的来说,收获颇丰,自己第一次感觉到了细心和耐心的关键性,要不是自己多试了几次,可能会与其失之交臂。并且自己内网方面还是有待提高,要继续学习了。
原文始发于微信公众号(雁行安全团队):记首次hw的心得体会
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论