0x00 背景
在外网打点后,往往会上传webshell进行进一步的利用。之后可以开始传代理,fscan一把梭。。在攻防演习中,企业隐私数据日益重要,因而后渗透也亟需收集各种密码,进入数据库收集更多信息。
0x01 webshell后翻密码
A.分析翻密码
每次getshell后,翻阅密码苦不堪言,这数据库密码藏哪里了?经过多次的红队评估与实战演习,对密码存储位置进行分析:
分析网站的语言类型,根据不同语言类型,定位数据库密码存放位置。例如php开发的,如果使用了框架,那可能存在.env这种全局配置文件,又或者用database.php来声明信息;使用python框架开发的,也可能会在根目录或者database下存在.conf类配置文件;使用java的往往会在WEB-INF/classes目录下存放数据库配置文件;使用asp的可能在web.config里面。
web.conf是一个xml文本文件,往往用来存储ASP.NET的web应用程序的配置信息,其中就包括连接数据库的用户名和密码。
B.开始翻密码-配置文件篇
在一顿瞎分析后,截一些之前打过的截图,由于涉及大量敏感信息(密码、路径等),全部做重码处理,请大家正确利用帮助企业排查风险项目,维护社会网络安全,不做恶意尝试和利用。
tomcat类应用,经常发现存在application.yml文件中,如下所示:
参考路径:/bbbbbb/tomcat/webapps/aaaaaaWEB-INF/classes/application.yml
参考路径:
/home/cccccc/tomcat/webapps/ccccccc/ROOT/WEB-INF/classes/application-dev.yml
其他java应用,同样是web目录也在classes文件目录下:
weblogic应用存放路径:
/home/aaaaaaa/weblogic/Oracle/Middleware/Oracle_Home/user_projects/domains/basicDomain/servers/bbbbbbb/stage/ccccc/ccccc/WEB-INF/classes/config.properties
同样weblogic服务器:
然后是asp的web应用,一搬存放在web.config,也有存放到类似database.exe.conf这种里面如下:
存放在web.config下面:
php类的,就跟前面说的会在全局配置.env中,如下所示:
还有database.php中的:
上面是不是看的眼花缭乱,hh,再次向大哥们的眼睛道个歉,总结一下使用命令快速收集如下:
find ./ -name config
find ./ -name proper
find ./ -name env
find ./ -name database
dir /b /s user.,pass.,config.,username.,password.*
C.开始翻密码-其他篇
Linux中的history:
0x02 内网翻密码
内网里面翻取的密码很多很多,有运维文档.doc、password.txt,还有各种软件密码存储在本地:navicat、xshell、wifi、mimikatz抓密码等等等。
navicat没截图,自行百度一下,大致就是按照操作然后找到密码后,github下载个解密脚本解密即可。
Xshell的话可以试试这个大哥的工具(具体怎么用呢看md介绍):
https://github.com/JDArmy/SharpXDecrypt
获取wifi密码:
命令:for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear|findstr "关键内容"
ftp里面翻密码:
但是很可惜打开是加密的如下:
还好网上有sqlyog里面的解密脚本,成功解密拿下数据库密码:
奇葩内网网页泄露密码:
内网里面还有很多种获取密码的方式,期待小伙伴们尽情解锁并相互分享。
0x03 大总结
首先,翻阅密码可以帮助我们在攻防演习中快速得分,也能在红队评估中及时为客户发现密码存放风险项,所以还是那一句,大家以此文章,用以正处,无不良引导,不要进行恶意利用。
另外,翻密码还是挺开心的,毕竟本人太菜了,能帮大哥们梭内网,尽力把我能做的都做了,^_^!
监制:船长、铁子 策划:格纸 文案:Cupid 美工:青柠
原文始发于微信公众号(千寻安服):疯狂翻密码^_^!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论