2023年11月24日21:30:16评论45 views字数 1979阅读6分35秒阅读模式

最近太忙了，忙于各种奇奇怪怪的事情，有攻防，有应急，有渗透，还成为了一段时间内的“word高级工程师”......有师傅说我现在更新的越来越慢了，是呀，其实我也不知道怎么了，每天各种新闻充斥在耳边，谁因为分享XX渗透技术被XXX了，真害怕自己不小心触犯了谁的利益，直接就进去了，以后还是得小心，现在技术啥的好像越来越难以分享，有些能讲的我都尽量发出来，以后估计就是提供思路为主了......

以下思路讲解中涉及的漏洞均已修复，并且均是自己随处找的演示图进行说明，无涉及真实网络环境数据。

一、逆向逻辑+爆破

遇到下面两种滑动型验证码，直接开搞！因为这两种验证码90%以上都是不会失效的，抓取数据包之后是可支持暴力破解的；而且我们再来分析一下流水号/XXX码等内容，这些内容在我们常规思维里面都是固定为多少位数的值或者也有可能是一种随机值，这个时候我们可以直接输入一些常见的数值去测试:例如123、11111、2222等等，就会发现有时候会有不一样的效果。

某攻防演习中图一利用爆破模式获得千万级数据量泄露；图二根据描述在信息收集中获得一个正确的XX码，然后根据地域特性直接猜解该码有地区号5位+街道号2位+数量位数7位组成，最后也是通过爆破定义数量级为千万级数据量泄露。

演示图一

演示图二

二、某内网集成系统外放获取某云权限

师傅们nacos应该很熟悉了，该次攻防中用路径低线程扫描可以获取到nacos路径，然后利用默认key硬编码漏洞获得管理权限，然后开始翻找各种配置文件，用配置文件的各种信息获得各种管理权限。

一些小思路

redis高权限运行，直接账号密码连接然后提权，使用开放的SSH端口进行公私钥写入，无密连接获得主机权限；
获得小程序秘钥（appId和AppSecret），直接制作token接管;
获得各种云的秘钥（accessKey和secretKey），利用云存储客户端获得存储桶权限，利用“CF工具”接管XX云管理权限，然后控制主机。
获得主机权限之后继续利用里面的数据库账号信息，接口信息获得其他权限；
获得数据库权限后，多查看用户信息，使用用户信息获取其他web权限，然后进一步利用。

部分演示图

三、UEditor编辑器任意文件上传得主机权限+内网

利用文件上传漏洞获得权限，然后就是内网刷分了，内网刷分看似简单却又不简单，主要还得掌握：快、准、久。

快：信息收集速度要快，特别是打印机和FTP、SMB协议，内网大多数打印机都是默认口令或者无口令；还有存活资产开放的端口。

准：获得内网信息之后，一定要打得准，控制好告警的数量，一旦攻击流量过大容易引起注意；

久：持久化，免杀是关键。

一些小思路

获得主机权限之后，进行内网穿透，然后翻找各种文件寻找账号密码或密码本，然后密码字典制作，密码喷洒获得其他主机、数据库权限；获得低权限的时候不要慌，使用各种对应插件进行提权，若不行则找管理员运行的相关程序进行提权，例如redis写公钥等；
使用弱密码/默认密码去验证内网web系统以及安全设备管理系统；
多去寻找双网卡机器，这样子可以找到更多资产进行刷分。

演示图

四、各种弱口令+路径+端口开放

每次的攻防演习都离不开最大威胁-弱口令，现如今这个是最为简单也是最好的入口点，因为弱口令不仅仅只会让你获得web管理权限，还有其他协议的权限，所以打某个目标前一定要对比好路径，开放端口。

部分弱口令如下：admin/admin@123admin/Epoint@11111admin/Epoint@22222admin/111111admin/000000admin/222222sysadmin/1Admin/1A0000054/A0000054E000005/E000005postgres/123456

五、总结

我的网安之路还有很长的路要走，还需努力......

免责声明：

本文章仅做网络安全技术研究使用！另利用网络安全007公众号所提供的所有信息进行违法犯罪或造成任何后果及损失，均由使用者自身承担负责，与网络安全007公众号无任何关系，也不为其负任何责任，请各位自重！公众号发表的一切文章如有侵权烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！感谢您的理解！让我们一起为我国网络安全事业尽一份自己的绵薄之力！

●推荐阅读●

日常实战渗透小技巧，掌握就无需担心漏洞产出为零！

未授权访问漏洞系列

应急响应系列