前言
今天给师傅们分享一个地市级红队的曲折攻防过程,前段时间闲着没事干在线上接了一个红队地市项目,其中在一个目标资产中发现了一处可以入手的资产,然后就开始了一段曲折的getshell之路。
资产信息收集
在给定的目标资产(http://www.xxxx.cn)中首先还是老一套,C段、子域、目标系统端口、目录扫描、备份文件扫描、指纹识别.....其中在C段中发现了很多资产时可以利用的,但是跟给定靶标并没有太大关系就没有深入利用了。
在扫描备份文件时惊奇的发现其根目录下存在web.tar.gz备份文件,备份文件一拿到手的一刻感觉这个站应该是八九不离十了,直接下载备份文件开始漫长的审计。
从审计到组合拳GETSHELL
首先,这里通过审计发现了该系统存在前台的SQL注入漏洞(由于该篇重点分享红队思路,不去做代码上的分析),当时想着通过注入获取管理员密码,去后台看看有没有可以直接上传的点。
这里跑到后台密码md5后,经过尝试怎么也解不开,猜测应该不是常规弱密码,后台登录不上,只能继续审计看看能不能找到未授权rce直接getshell。
在一番审计过后还真发现了一处未授权任意文件上传点,该处代码中没有任何上传限制就可以直接上传脚本文件到目标服务器,这下舒服了,迫不及待直接上传!
木马果不其然上传上去了,但这里存在一个问题,从代码中发现这里上传文件名会通过时间戳修改文件名,所以这里的文件名是不知道且猜解的,那么这里虽然通过代码中我们可以得知上传目录,但是还是无法获取正确的文件名。
那么接下来我的思路就是要看看代码中有没有将文件路径保存在数据库中,因为根据代码审计的经验来看有些系统会在上传时保存其上传的一些信息到数据库中其中就包括上传的路径。
有了思路我们就继续开始审计,经过一段时间的翻找果然从代码中发现了insert函数插入了该上传文件的路径。然后通过之前的未授权SQL注入成功获取到了上传文件名。
成功通过组合拳拿下了目标系统shell,这里由于是阿里云服务器,尝试了很多方法最终也没绕过disable_function,如果有思路的小伙伴也可以加我探讨。
在目标系统中没有发现敏感的文件,通过连接数据库也没有发现数据库中存在敏感信息。所以此靶标的渗透测试也就只能以遗憾告终了。
原文始发于微信公众号(零幺sec):阿里云无法绕过的某地市级红队攻防
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论