之前发现手里的供应链源码刚好某个证书站也有用到,随即代码审计
某处处理文件上传的getShowimages方法没有对文件后缀名进行检查,导致任意文件上传getshell
构造文件上传数据包,贴上免杀马数据包以后发包
成功上传文件,访问空白看来是被解析了
当前主机权限为www,使用suggest脚本查找可提权的exp,使用脏牛提权失败,随之使用4034提权成功,就到这了吗?由于src不允许后渗透的操作,我们使用其学校自带的vpn隧道连进去,账号密码就用之前收集下来的成功进入学校内网之后准备连接ssh
双网卡主机通过nginx反向代理到外网去,通10段和192段,先做一下本机后渗透,8888端口开放bt服务,使用命令查看bt默认密码:/etc/init.d/bt default
成功登陆宝塔
通过这台双网卡主机进入10大段,指纹识别一波
使用任意文件上传getshell
后渗透获取控制台密码
成功登陆后台获取很多其他网段主机信息,通过对某内网群控系统的0day攻击,获取到了以下成果
禅道:
某段下的一台主机通过密码碰撞直接进入ZenTao后台
数据库连接信息
ssh连接密码获取直接连接目标主机
内网shiro:
使用shiro自定义扩展key跑目标
写入webshell
内网其他linux主机*40
总结:
后面跨网段然后再跨多网段,很枯燥的就没有往下去写了,内网打包直接提交上去了。
原文始发于微信公众号(青萍安全):EDU实战 | 某大学证书站漏洞打包
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论