0x1前言
好久没写文章了,写一下最近的一个实战,仅供笔者记录与学习
0x2前期信息搜集
IP,端口,whois,目录扫描这些就不多说了,做是做了,虽然没啥用。记录一下这次的一些不一样的信息搜集。首先,在目标官网上发现一处公公众号二维码,就不放出来了,放出来必死。关注后抓包,发现一处信息泄露,泄露了几百个用户姓名,电话号,邮箱等信息
用python爬取这些信息中的姓名,电话号码,等有效信息,做了一份字典
0x2突破口
字典就绪过后,尝试爆破后台,无奈有验证码+登录次数限制,无奈放弃爆破。继续寻找,发现一处注册页面可上传文件,
改后缀上传失败,发现有安全狗waf
这里采用双写filename的方式绕过安全狗,并成功上传
这里返回了半个路径,经过一段时间的fuzz,找到了目录,但使用冰蝎3连接失败,目标报错信息如下
报了个无法编译的错,经过测试我发现这里会对文件头进行一个检测,也就是必须带图片头,才能正确上传,所以我上传的jsp都是带有一部分文件头的冗余的,分析了一下原因报错原因
1、waf的锅
2、百度了一下说可能是tomcat版本过低
3、文件头的锅导致不能正常解析
0x3解决问题到内网
本地测试了一下waf,发现冰蝎的马是可行的,那么剩下的问题,我用以下方式解决掉
1、换成冰蝎2的马
2、文件头用注释符注释掉,让其不影响webshell的解析
类似与这样
成功解析getshell
稍微看了下网络环境,win2008r2,站库分离,目标不出网,开放3389
目标不出网采用regeorg+proxifier的方式,把本地流量带入内网,参考我的博客
https://www.cnblogs.com/lightwind6/p/15029506.html
这里单纯用regeorg是行不通的,因为有waf存在,流量包会被拦截,所以可以采用一些加密的手法,用regeorg升级版
项目地址
https://github.com/L-codes/Neo-reGeorg
成功把流量带进内网
抓浏览器密码,本地密码
翻文件找到mysql数据库密码,找到sql服务器
proxifier代理nivicat.exe成功连接,获取到大量的密码
sql服务器开启3389,通过获取到的所有密码,爆破3389端口,成功横向到GET到内网sql服务器
0x4后言与探讨
因为时间的原因,这次实战到这里就结束了,剩下一些机器全是一些网关之内的东西,就没继续下去了
一些未解决想探讨的问题:
发现这台机器处于一个openstack+cloudinit搭建的虚拟实例中,应该怎么去逃逸,希望各位大佬教教弟弟
BY:先知论坛
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论