记一次红队经历

上学期临近考试周的一个下午，学校老师喊我和学弟参与一场红队活动，于是便有了下面的文章 

印象很深的一个攻击目标是英语四六级考试网站....（我要是能打下来还苦逼背单词干什么）

首先开始前期的信息收集工作，利用 zoomeye、nmap 对目标 IP段 进行扫描，收集子域名等等

上面是我在信息收集过程中收集的一些觉得脆弱可能存在问题的站点目标。（红队队员只需要输验证码试弱口令发现脆弱目标就好，捡软柿子捏

经过一番测试和批量扫描确定了几个存在漏洞的薄弱点

当时在 zoomeye 看到一个很有趣的网页标题：TP-link xxxx，这不是路由器吗

点击进入后看到这是一个暴露在公网的路由器，密码简单测试了一下，弱口令 admin/admin 就进入了后台

进来以后发现存在一个 ping 其他主机的功能，这不是 CTF 最经典的命令注入吗 hhh？

前端 JS 禁用了特殊字符和设置最大长度，发包以后不直接回显结果，burp 改包反而不行。利用 console 把过滤函数改成 return true 并把输入框 max_length 改长就实现了命令执行，最后是 root 权限，成功提权

发现几台主机存在 CVE-2019-2618 ，直接使用 poc 上传 jspshell 拿到最高权限

在对某核心域名的子域名测试时(得分乘 10！)发现一个很有意思的站点

网站页面的 url 格式如

http://domain/xxxController.do?method

当试图访问某个 controller 不存在的方法时，会报错，将所有该 controller 的方法暴露出来

可以看出这里的逻辑大概是 switch/case 的样子，访问三个 login 方法发现竟然存在三个后台！在后台当中有两个默认后台，怀疑这个 CMS 系统自己留的两个后台模板，存在默认密码但是并没有启用。login1 是正在使用的后台，不存在弱口令

访问 login2 发现了一个很有意思的接口:重置密码，抓包后发现用 post 方式请求了 loginController 的 reqInitFlag 方法

还注意到网站有很多手册，经过一番查找后在一个手册中找到了默认密码：123qwe???

成功恢复 admin 密码并进入后台，后台有上传文件的接口，但是貌似没有实现好。后来去这套 CMS 系统的官网下到源码后找到了任意文件上传漏洞最后拿下 shell

凭借着这个核心系统的 *10 ，我们最后拿到一个中间名次 hhh

文章作者：popstack原文地址：https://xz.aliyun.com/t/8411

关注公众号后台回复 0001 领取域渗透思维导图，0002 领取VMware 17永久激活码，0003 获取SGK地址，0004 获取在线ChatGPT地址，0005 获取 Windows10渗透集成环境，0006 获取 CobaltStrike 4.9破解版

加我微信好友，邀请你进交流群

备用号，欢迎关注

原文始发于微信公众号（刨洞安全团队）：记一次红队经历