声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
众亦信安,中意你啊!
背景:
隔一段时间就有师傅问是不是犯事被逮捕了,先给师傅们报个平安,人还在。太久没更新是因为懒,新年的一年决定不再摆烂!
本文分享下之前地市hw的经历,当时喜提第二,但漏洞其实非常简单,各位师傅谁上都行(文章打码部分请师傅们见谅)。
第一个目标网站挂在阿里云上带着zg字样,一看就不同寻常,脑海里甚至出现与waf一番苦战的场景了,没想到。。。。。
没想到同ip的其他系统,开发直接把oss key和secret写在js里边(老板:好好好,开发扣工资!),拿到key和secret直接拿工具验证一下,root权限。
由于直接用cf工具会触发短信告警,参考下边的文章绕过。
【Web实战】阿里云手动接管云控制台(保姆级别教程不触发告警)
链接:https://forum.butian.net/share/2545
关闭告警后,剩下的就简单了,在网站的配置文件里边找到数据库账号密码,发现主机上有电力app相关的用户50w+信息。
这里顺带推荐下hxd的找敏感文件工具searchall,解放双手,直接拥有。
https://github.com/Naturehi666/searchall 嗨嗨安全
第二个目标在企查查和天眼查上都没有发现web资产,但关注公众号后发现引入了一个第三方的web系统。
在这个网站下发现struts2漏洞,又狠狠地收获一枚shell。
第三个目标是地产中心,通过用户admin’ or 1=1--+登陆系统,在用户名处存在sql注入,直接可以通过os-shell获取权限,但系统上存在某锁杀软,技术有限也没有花时间在此处(后边听说有两哥们躲在厕所里一下午,连上wifi把人家分刷满了,我只能说艺高人胆大)。
第四个目标是xx财务平台,findsomething没有匹配到它的路径,手动翻js才找到相关路径发现ueditor编辑器(建议师傅们还是自己编写正则,工具有些正则没匹配上可能漏掉关键信息)
连接马儿后查看ip跟靶标在同一个网段(ps:10段的总让我有种安全感),ping靶标发现网络是通的,这分数也是稳稳拿下。
5. 先人种树
第五个目标,当我还在庆幸,又扫出一个后台并搓手准备大展拳脚之时,我的伙伴已经告诉我,无需再看,他已经拿下了,当我还在思考他使用何种手法拿下网站时,他悻悻地告诉我,前人栽树后人乘凉。
不知道是开发这样设置的还是在php里面留了🐴,可惜的是台云服务器,就没继续深入了。
年后碎碎念:
过年面对亲戚的问询,父母的催婚,隔壁二姨夫的儿子又买上x馬五系。总是想着,开工就好了,开工就不会受到这样的羞辱了。
可真到了开工,每天想的却是这窝囊费赚的什么时候是个头,好想回家,好想回到熟悉的街头,卖卖烤肠,和小美度过美好的后半生。唉,人真是矛盾的动物。
顺便应师傅们要求弄个24年hvv沟通交流群,群人数满了可以添加群主微信拉。
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。
原文始发于微信公众号(众亦信安):hvv之捡漏的艺术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论