红队第一期的培训已经结束,跟学员了解到一些情况,做渗透测试、挖SRC都能频频出漏洞,但并不了解如何去将漏洞深入的综合利用。
在日常的渗透测试与漏洞挖掘过程中,安全研究人员往往会尽量做到点到为止,仅仅证明漏洞的存在即可。然而,在实际的攻击场景中,漏洞挖掘仅仅是第一步,后续如何通过综合漏洞利用获取到目标服务器权限才是实现攻击的关键。
在实战中,发现漏洞存在后还需要懂得利用漏洞的特性综合利用从而达到目的。许多被忽视的小漏洞往往能在关键时刻发挥出意想不到的效果。这些小漏洞包括内网IP泄漏、绝对路径泄露、默认安装路径等。以下是几个简单例子:
目标站点服务器本地的内网地址会因为开发人员的疏忽或者安全意识不到位从而写到项目的静态文件中,从而泄漏内网IP地址,这种小漏洞往往会被忽视,但当可以满足一些前置条件的情况下也可以称为综合利用当中的一环。
示例分析:在一个目标站点属于库分离架构并且不出网的环境下,存在mssql数据库的注入能够执行系统命令的环境,想对其进行内网横向移动扩大战果该怎么办呢?
难点:不出网无法直接上线远控、无法远程下载程序、sql语句写文件有限制...
利用前期信息收集时发现的目标站点内网IP地址,找到任意文件上传功能点,可以获取到对应的文件落地URL地址,即可通过Web服务器作为中间文件服务器下载横向移动所需的工具(PS:后缀不重要将exe文件以png格式上传也不影响),再利用SQL注入实现命令执行,通过内网地址下载文件到数据库服务器上,反之 也可以通过数据库服务器将内网文件通过目标站上传,再在互联网下载到攻击者本地。以目标为载体对目标内网通讯,直接“隔山打牛”对内网进行横向。
绝对路径泄露是在错误提示或日志中显示了文件系统的绝对路径
示例分析:全站都是访问路由,遇到任意文件读取/下载漏洞,低权限
难点:无法知道Web应用的文件名、读取不了系统历史命令...
任意文件读取结合绝对路径泄漏扩大攻击面,通过泄露的绝对路径去查找中间件日志,根据访问日志获取到更多接口路径甚至一些后端的未授权接口来进行进一步的渗透。直到获取到主机权限。
这里说的默认安装路径是指一些项目或者厂商部署服务时存在默认路径。
示例分析:存在文件上传漏洞路径可控,上传落地的附件目录不在Web根目录
难点:存在文件上传漏洞,但是响应中不回显文件落地后的路径或者URL链接。及时成功文件上传也无法访问WebShell。
参考HiKVISION 综合安防管理平台report任意文件上传漏洞的利用。
POST /svm/api/external/report HTTP/1.1
Host:
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary9PggsiM755PLa54a
------WebKitFormBoundary9PggsiM755PLa54a
Content-Disposition: form-data; name="file"; filename="../../../../../../../../../../../opt/hikvision/web/components/tomcat85linux64.1/webapps/eportal/new.jsp"
Content-Type: application/zip
<%out.print("test");%>
------WebKitFormBoundary9PggsiM755PLa54a--
通过部署目标站点的相同系统或者互联网检索获取到Web应用默认安装的安装路径,在上传时使用../跨目录的方式将webshell传到Web根目录...
PS:以上案例均来自实战,手法跟思路区别于常规的渗透测试方法,但正是这样的组合拳才可以在攻防演练中打开更多的突破点。综合渗透的任何一个小细节都可能是打穿目标单位的最后一根稻草!!!
原文始发于微信公众号(487Donkey Sec):从SRC漏洞挖掘到红队综合利用的思路转变
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3557537.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论