*声明:*请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合法渗透,本文章内容纯属虚构,如遇巧合,纯属意外。
近来忙忙碌碌忙ui忙后端,终于抽出空来完成一次渗透测试
一.信息收集
开局一个登录框,反手就是一个弱口令。失败
看看f12
请求表单如下,但可进行多次爆破,这里先让bp跑一会儿
翻翻js文件
翻到好东西了,差点给我嘴笑裂开了
直接开始爆破账户,先等着吧,我们看看还有没有什么其他好东西
目录扫描一下
爆破了几个目录出来,存在一些未授权访问,最激动的是,扫出来个大的!!站长搞忘删掉的备份文件
680mb,好家伙,让他下会儿,我们看看其他未授权的文件夹
js目录下随便翻了翻,js文件均没有暴露账号
image目录也没有靓仔的地方,只有一些私密的信息
config跟log目录更是乱码,浏览器改变了编码方式也是,是个比较老旧的系统了
这时候bp爆破结果出来了,两万多条的字典居然一个都没爆破出来
哀叹一声,开始源码审计
整个目录结构如下,首先我就兴冲冲的翻了几个config为首的配置文件和login相关的接口
有几个这样类似的password和userid,均登录不上
二.打点
1.历史漏洞
看目录结构有点眼熟,于是根据图标hash值发现了历史漏洞,但一试发现上传目录根本没有执行脚本的权限
遂作罢
中间上了个厕所,翻了翻旁站,发现有个差不多类似的系统和一个主站,主站之前渗透过,没有什么大不了的信息
无奈之下,继续源码审计
山重水复疑无路,柳暗花明又一村
在一个被遗忘的角落
发现ueditor编辑器,直接开始ueditor任意文件上传
2.ueditor任意文件上传
验证poc如下
UEditor/net/controller.ashx?action=catchimage
显示这个的话,多半有戏
别看网上那些花里胡哨的漏洞利用方式,什么本地html加服务器部署图片马
linux和windows都行,搭建简单http服务
python -m http.server port
准备一个aspx木马把它改成图片后缀,然后发送如下数据包
sources[]后面
发送数据包会回显路径
进行访问!
gggg,会被拦截至登录页面,看来这个方法行不通
3.kindeditor漏洞上传
在小小的目录里面翻啊翻
终于在一个微不起眼的目录下发现了kindeditor
开测
首先需要访问js文件查看版本
kindeditor-min.js
4.1.7可测
根据不同的语言环境验证不同的poc
kindeditor/asp/upload_json.asp?dir=file
kindeditor/asp.net/upload_json.ashx?dir=file
ashx/upload_json.ashx?dir=file
kindeditor/jsp/upload_json.jsp?dir=file
kindeditor/php/upload_json.php?dir=file
验证成功
这里poc可以回复公众号 kindeditor编辑器 进行获取,需要搭建html进行本地流量转发
成功进行上传,可惜不能上传脚本文件,只能提交一些鸡肋漏洞(xss)
4.上传接口测试
再进行了长达两个多小时的接口代码审计
终于fuzz出了一个接口,且接口有回显文件路径
访问
上传木马内容进行访问
500,有戏
成功连接
三.单机内网环境
whoami命令
权限很低,且进程中存在360杀软,
上传免杀木马
有点卡,等待半分钟
成功上线
systeminfo看了一下,windows server2012,直接juicepotato提权
成功拿到system权限
单机无域,且端口就如先前所说,开放了三个web服务
mimikatz提取不到账号密码
fscan扫了一下,扫出来了之前三个已经测试过的漏洞
还是无用
浏览器密码抓取了一下,出货
这谁能想到密码是这样的啊
发现是某处大学的管理系统
最后,在系统内发现了todesk
通过替换配置文件成功获取clientid和临时密码
注意执行对应exe的时候需要双引号,避免识别不出
大功告成,写报告撤退
四.总结
1.打点要耐心,一定要每个细节都不放过,去搜搜,积累自己的漏洞文库
2.上传接口每个都试试,总会有惊喜的
3.信息收集莫急躁,关注敏感目录
原文始发于微信公众号(哈拉少安全小队):渗透实训-记一次艰难的打点过程(某985)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论