原文链接:https://www.freebuf.com/vuls/410636.html
作者:重庆傲洋科技
主要展示为有结果渗透目标,其中外网4个系统,内网系统若干。
以下为文中主要漏洞类型:
弱口令(包含非管理员帐户)
SQL注入
未授权访问(身份登录)
软件版本不同 但使用相同数据库
命令执行
永恒之蓝 MS17-010
外网系统1
主要问题:弱口令,文件上传 抓包改后缀,SQL注入
图:弱⼝令拿下管理员账户
图:找到文件上传点
图:上传成功但没有执行权限
图:⼀个查询接⼝出找到⼀个get注⼊,排序处很容易出sql注⼊
外网系统2
主要问题:扫描出的路径未做身份验证,可添加管理员帐户
图:某在线学习平台
图:扫描到一个可用目录直接访问跳转到管理员页面
图:添加管理员的时候,头像处可以上传,但是始终是500错误
图:只能先添加一个管理员帐户,再寻其他
外网系统3
主要问题:跟外网系统2属于同一个系统,不同版本,数据库通用。
图:页面底部 3.x,第⼀个为1.x,那么他们会不会使⽤同⼀个数据库?页面又很像,发现可以登录。
图:上传功能虽然正常,后台对上传⽂件做了限制,只允许图⽚格式,html,txt,个⼈判断为⽩名单。使⽤⼤⼩写双写等等办法发现根本⽆法突破限制,使⽤::特殊符号截断会把整个后缀截断,可以传上去为,http://127.0.0.1/upload/adasdadszxc ⽆后缀形式
图:但是也不存在iis解析漏洞,上传宣传⻚⾯可以造成存储型xss,也拿不到权限, 只得再寻其他。
外网系统4
图:爆破admin⽆结果,这种管理系统不⼀定只有管理员,会不会存在普通⽤户?弱⼝令123456去撞账号,⼀下撞出好⼏个。
图:权限不⾼,也没有上传点,只有导⼊,导入也没啥用。
图:继续翻功能,iis+asp搭建多半是sqlserver,往各种查询数据包⾥丢单双引号,存在注⼊!
图:出现路径 丢sqlmap发现跑不出,发现有语句执⾏有⻓度限制,换个点,⼿⼯开启xpcmd_shell 但是有杀软,调⽤xpcmd直接写⻢被拦截最后base64写免杀⻢再反转回来拿下⼊⼝
图:至此终于木马上传成功
内网系统较多不一一赘述
信息收集
先上goby探测内⽹服务,未避免流量过⼤,所以不开poc验证只扫描指纹,探测出⼤量资产
永恒之蓝
发现⼤量445端⼝,⽤goby扫描单个漏洞
发现应该是有杀软的,有⼏台打不动,多试⼏台
抓了⼏台hash发现解出来都⼀个密码,写⼊密码本
其中有⼀台很奇怪,能上线msf,但是执⾏不了命令,知道没⼈防守,直接远程上去⼀看
桌⾯上还有⼀个navcat,那应该是有数据库的,直接导出数据库解密,拿到数据库密码
内⽹横向
当我发现内⽹其实⽐较薄弱的时候,就直接上fscan开扫了,速率开低慢慢扫开始横向内⽹,把所有上线cs的主机抓取hash,运⽓很好基本都是2008r2
弱⼝令
弱⼝令先拿下⼀波linux
然后是数据库弱⼝令
先放着,继续看web漏洞,发现⼤量heapdump 未授权,nacos未授权,两个iis put 等等漏洞
继续拿下2个iis put 跟tomcat弱⼝令,⼜拿下3台上线cs,⽤烂⼟⾖提权拿下⾼贵的system权限
拿下域控
回到刚刚有域的mssql服务器,上线基本就是cs⾃带的提权或者⼟⾖家族提到system
开始对域控进⾏横向
以为是密码错了,将密码本内所有的密码,对两个域控⾼危端⼝进⾏爆破
没有爆破出来,想着⼿动试⼀试 迎⾯⽽来的就是⽕绒+天擎
然后继续拿着密码本爆破下数据库+3389
到此基本已经打穿了,拿着密码本还能撞⼀波各种⽹络设备,堡垒机等等
原文始发于微信公众号(神农Sec):某医疗单位渗透服务日常分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论