距离上次发文已经过去将近两个月,期间处理了大大小小的事情,都快忘记了我还有一个公众号了。也不知为何,最近攻防项目越来越多,是为了迎接“上面”的检查还是为了接下来2024年的国家级HW行动,总之,现在发现外网越来越难打了,内网限制的也越来越多了,各种安全设备框框一顿造,逆向,免杀也要满天飞才行,不然“想进去”太难了!
还有最近我发现CSDN平台的一些师傅抄袭我文章后标个原创,也不打个招呼,并且原文链接或者公众号也不放一个,再这样搞,我就不客气了
以下项目过程均是在授权下进行,且漏洞均已修复完毕,运维的师傅们也可以根据这些小思路对应出招进行防护!注意:在未授权下的攻防都是耍流氓!
一.源码泄露+任意用户添加+文件上传Getshell
(1)很多时候我都依赖于我个人搜集的目录字典,因为我发现它每次总能带给我很多惊喜,通过dirseach跑目录,惊喜发现存在以下备份目录,原以为是某个项目文件或者说是日志文件,没想到是网站的源码文件。
(2)通过对网站源码的审计,发现存在很多的未授权接口,最惊喜的还是任意用户添加,调用接口可直接添加管理员用户,成功登录系统管理后台。
(3)进入后台最主要的还是看能否进行文件上传,这里直接找到文件添加功能,上传aspx免杀马子,成功Getshell。
(4)上线接下来就是使用systeminfo查看一些补丁,接着利用没打补丁的主机漏洞进行提权+内网遨游了......
二.ThinkPHP 5.0 RCE漏洞+命令执行(bypass disable_functions姿势)
(1)进行目录扫描的时候发现错误界面发现使用的是ThinkPHP框架。
(2)使用ThinkPHP检测工具看看是否存在历史漏洞,好家伙,还挺多,看来这个开发甲方挺懒惰,这不就便宜我这个小菜菜了。
(3)直接RCE传个文件,以及查看phpinfo内容,看禁用了哪些函数,需不需要进行绕过,不看不知道,一看吓一跳,禁的还挺多(我错了,承认我刚才讲话大了一点声)
(4)不过山回路转,嘿嘿,到这里可以利用disable_functions姿势进行绕过。
找到php-fpm.conf配置文件,找到监听的地址,使用哥斯拉的disable_functions模块进行绕过。
这个最后利用redis提个权+内网遨游了,,,,,,
三.弱口令+用友U8+命令执行
(1)开局一个登录框,在爆破admin用户无果的前提下,直接搜集该公司的用户制作账户名字典(可以通过常见姓名,公司人员介绍等方式获取),然后直接进行针对性的弱口令密码爆破。
使用burp的Intruder模块,针对收集到的账户进行爆破,我一般针对的弱口令有:1234561234qwe123admin123qwe111111等进行,经历过多次实战可爆破出1~3个用户的账号信息。
(2)爆破用户之后,登录发现存在用友U8+应用,直接下载客户端进行连接,一般连接都会直接记住账号密码,或者是弱密码进行登录,可直接获取权限。
(3)这里使用异速联这个远程工具连接成功后,可以认为就是链接到了某一台客户端机器,相当于开启了远程登录,不过也有一点区别就是这里只有应用的交互界面。
(4)这里提供一条小思路:我们可以去找文件交互的功能点,比如文件上传,文件下载等地方,然后再去利用windows的特性,利用shift键+右键来打开cmd命令窗口进行命令执行。
(5)紧接着就是计划任务、反弹shell、下载某个vps的木马执行、再不济搞个远控直接上去巴拉巴拉遨游内网,,,,,,利用方式很多就不多说了,如果要提权记得提权哦,我这里直接就是管理员,还是比较幸运的。
原文始发于微信公众号(网络安全007):随心记_近日些许攻防项目技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论