洞安之道
洞安之道
实验步骤:
美好的晚上从四人开始日菠菜站开始。
首先对目标站点进行信息搜集,很常见,但是这个小站居然设置了访问限制,好家伙
我直接nmap把我自己扫没,没办法......只能挂代理了,愁!
设置了访问策略那漏扫也差不多么得了,更不用说啥sqlmap,弱口令了,扫描和爆破几乎是不能用了(原谅我们没有那代理池,如果代理池足够大的话直接python换代理爆破理论上也是可行的
很朴素的页面,就这种小站xss,sql注入的点应该一堆。
首先玩一下,来个xss虽然对于getshell没有任何吊用,但是哎,就是玩儿。
xss打一下没什么鸟用,看看原因
好吧,编码处理掉了,反正随便一玩儿,也懒得绕了。
开始直奔主题,先拿个web的权限进服务器。
先盲猜一手漏洞。
上传点:为登陆后用户头像
sql注入点:为登陆用户名与密码
溢出点:为cookie与用户名密码
bp访问站点可以看到cookie携带的数据还是不少的
柿子还得挑软的捏,有个上传那不美汁汁?所以直接查看页面框架找到相应的服务器类型往上上传木马。
wappalyzer检测页面框架,对于ip限制策略办掉漏扫这种小工具还是挺实用的,再次吐槽一下这小破站还要开访问限制, * *。
可以看到用php编写,那直接先来手php木马传一下
免杀马奉上,可惜后面才知道这服务器垃圾的很没杀软,只有防火墙做限制。
这不直接白拿???连数据限制都不做???看一手bp再传一波包确定一下好吧。
oh~~shit 马的chrome上传有限制只能上传规定的文件,这边只能在firefox上做了,换。
这上传起来多舒服。直接上php马
之前用chrome登陆是可以做到单点登陆的,基本确定服务器用到session或者在客户端设置cookie了,查看数据包没有sessionID,基本确定用到cookie存储用户数据了,这时候看xss其实也是不错的。
但是最坑爹的是数据做了编码处理,分析一下这个编码的作用:
如果我们是正常用户,我们上传头像,但是我们一定要查看头像,但是头像可能会在客户端上传编码,到达服务器保存编码数据,数据返回客户端进行解码,数据到我们手上还是我们上传时候的数据,首先js是不能做这种处理的,唯一可能的就是在服务端处理后传输回来,或者服务器收到直接解码。
上传的数据没被杀???并且请求的image下载下来查看还是php源码数据,这编码感觉就很鸡肋了,不过还有一个更坏的消息就是服务器直接把文件名和文件类型改了,这不很麻烦。
那就一步步试错吧,先考虑服务器那边在上一步提交的post参数里面传输了name,那服务器那边做判断的时候可能会对name做处理,可以尝试在name上做点东西。然后cookie和其他传入参数的溢出还没开始做。
但是想到windows iis 7.5版本会有一个解析漏洞,于是直接抱着试一试的态度搞了一下
马的,直接成了。那这不就好说了。
上蚁剑直接连
连不上,但是服务器的的确确能解析到这个马,可能是防火墙对蚁剑流量做了过滤,难道要自己发包一步步整?想到了蚁剑流量过滤,我直接用菜刀,找了一个很古老版本的菜刀试一下。
果不其然,连接成功,到了服务器那不好搞了?
看一下补丁,好家伙一百多个拿个锤子搞。
直接cs上号吧。
虽然没啥思路,但是四个人用一台cs服务器聊聊天还是很舒服的。
既然进了服务器那就必须搞点啥了,扫了一下内网服务器没集群,有点捞,算了直接逛逛服务器吧。上面还有不少大马,看来是吃剩下的。
还是接着提权吧,cs挂上监听器直接用马上传个cs反弹shell连上
甜土豆打一下,没想到直接进system了哈哈哈哈。
拿到shell后也是晚上一两点了,留个后门走吧。
加个隐藏admin用户设好密码走了
小编:Clown、Sud0day 技术人员:南辰、GalaXY、GalaXY、夕惕
本文始发于微信公众号(信安小屋):记一次外网到内网服务一条龙
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论