记一次授权实战 - 一只发黑的苹果

admin 2021年12月31日14:50:44评论66 views字数 1071阅读3分34秒阅读模式

0x1前言

好久没写文章了,写一下最近的一个实战,仅供笔者记录与学习

0x2前期信息搜集

IP,端口,whois,目录扫描这些就不多说了,做是做了,虽然没啥用。记录一下这次的一些不一样的信息搜集。首先,在目标官网上发现一处公公众号二维码,就不放出来了,放出来必死。关注后抓包,发现一处信息泄露,泄露了几百个用户姓名,电话号,邮箱等信息

用python爬取这些信息中的姓名,电话号码,等有效信息,做了一份字典

0x2突破口

字典就绪过后,尝试爆破后台,无奈有验证码+登录次数限制,无奈放弃爆破。继续寻找,发现一处注册页面可上传文件,

改后缀上传失败,发现有安全狗waf

这里采用双写filename的方式绕过安全狗,并成功上传

这里返回了半个路径,经过一段时间的fuzz,找到了目录,但使用冰蝎3连接失败,目标报错信息如下

报了个无法编译的错,经过测试我发现这里会对文件头进行一个检测,也就是必须带图片头,才能正确上传,所以我上传的jsp都是带有一部分文件头的冗余的,分析了一下原因报错原因
1、waf的锅
2、百度了一下说可能是tomcat版本过低
3、文件头的锅导致不能正常解析

0x3解决问题到内网

本地测试了一下waf,发现冰蝎的马是可行的,那么剩下的问题,我用以下方式解决掉
1、换成冰蝎2的马
2、文件头用注释符注释掉,让其不影响webshell的解析

类似与这样
记一次授权实战 -  一只发黑的苹果
成功解析getshell

稍微看了下网络环境,win2008r2,站库分离,目标不出网,开放3389

目标不出网采用regeorg+proxifier的方式,把本地流量带入内网,参考我的博客

https://www.cnblogs.com/lightwind6/p/15029506.html

这里单纯用regeorg是行不通的,因为有waf存在,流量包会被拦截,所以可以采用一些加密的手法,用regeorg升级版
项目地址

https://github.com/L-codes/Neo-reGeorg

成功把流量带进内网

抓浏览器密码,本地密码

翻文件找到mysql数据库密码,找到sql服务器

proxifier代理nivicat.exe成功连接,获取到大量的密码

sql服务器开启3389,通过获取到的所有密码,爆破3389端口,成功横向到GET到内网sql服务器

0x4后言与探讨
因为时间的原因,这次实战到这里就结束了,剩下一些机器全是一些网关之内的东西,就没继续下去了

一些未解决想探讨的问题:

发现这台机器处于一个openstack+cloudinit搭建的虚拟实例中,应该怎么去逃逸,希望各位大佬教教弟弟

BY:先知论坛

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月31日14:50:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次授权实战 - 一只发黑的苹果https://cn-sec.com/archives/709870.html

发表评论

匿名网友 填写信息