作者:星盟安全团队 husins
记录一次从密码爆破到远程RCE的实战过程
信息收集
获取靶标之后,头等大事肯定是信息收集
因为是一个管理系统,只授权了对这个网站进行渗透测试,因此没有做子域名,旁站等信息收集。
爆破登陆
进入该系统:
尝试爆破账号和密码。
这里存在验证码,使用burpsuite抓包,发现是个vue的前端校验,前后端分离的站就是容易出现这种问题。既然是前端校验,那就是没有验证码,直接开始爆破。
账号密码逻辑简单,我好想在做CTF,真的顺。
一开始我尝试爆破admin账号,发现管理员有点聪明,密码还是很复杂的,我跑了足足一万六千多条,啪的一下没了,啥都没跑到。当时有点不知所措了。这里我就开始转变思路,我不信没有弱密码,我开始固定密码为123456,去爆破用户名
终于是有心人天不负,爆破到了一个用户名为 user1,应该是开发的时候测试账号没有删除,愉快的使用这个用户登陆吧!
进入之后发现在个人中心处,这个只是一个普通用户。
权限提升
查看cookie发现Name值就是用户名
尝试将Name值换为admin
直接变成系统管理员了,运气是真的好。
功能也多了起来,直接看权限管理:
好嘛,这就是系统管理员嘛,这也太香了,密码是md5加密之后的值,可以使用在线解密的网站,读取大量用户的信息。至此WEB端就告一段落喽。
数据库RCE
还记得之前的信息收集嘛,对它的ssh和postgretsql服务进行爆破
ssh服务爆破失败,但是postgretsql爆破成功了,我只能说MSFyyds
能登陆postgretsql,这我可就太懂了,因为不久前刚复现过
PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)
# 我上来就是payload一把梭,就是梭哈
psql --host xxx.xxx.xxx.xxx --username postgres
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;
你说网站运维他难不难受,很难受。
拿到RCE之后,想过写公钥,和反弹shell。不知道是我太菜了,还是因为postgresql以低权得方式运行的吗,都失败了。后来通过RCE也探测到靶标主机上存在redis服务,但是因为莫名其妙的原因,网站宕机了,这次的渗透测试也就结束了
本文始发于微信公众号(星盟安全):对足球管理的渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论