记一次授权实战

Delina

原文链接：记一次授权实战
​
0x1前言
好久没写文章了，写一下最近的一个实战，仅供笔者记录与学习
0x2前期信息搜集
IP，端口，whois，目录扫描这些就不多说了，做是做了，虽然没啥用。记录一下这次的一些不一样的信息搜集。首先，在目标官网上发现一处公公众号二维码，就不放出来了，放出来必死。关注后抓包，发现一处信息泄露，泄露了几百个用户姓名，电话号，邮箱等信息
​
用python爬取这些信息中的姓名，电话号码，等有效信息，做了一份字典
0x3突破口
字典就绪过后，尝试爆破后台，无奈有验证码+登录次数限制，无奈放弃爆破。继续寻找，发现一处注册页面可上传文件
​
改后缀上传失败，发现有安全狗waf
​
这里采用双写filename的方式绕过安全狗，并成功上传
​
这里返回了半个路径，经过一段时间的fuzz，找到了目录，但使用冰蝎3连接失败，目标报错信息如下
​
报了个无法编译的错，经过测试我发现这里会对文件头进行一个检测，也就是必须带图片头，才能正确上传，所以我上传的jsp都是带有一部分文件头的冗余的，分析了一下原因报错原因
1、waf的锅
2、百度了一下说可能是tomcat版本过低
3、文件头的锅导致不能正常解析
0x4解决问题到内网
本地测试了一下waf，发现冰蝎的马是可行的，那么剩下的问题，我用以下方式解决掉
1、换成冰蝎2的马
2、文件头用注释符注释掉，让其不影响webshell的解析
类似与这样
​
成功解析getshell
​
稍微看了下网络环境，win2008r2，站库分离，目标不出网，开放3389
目标不出网采用regeorg+proxifier的方式，把本地流量带入内网，参考我的博客
https://www.cnblogs.com/lightwind6/p/15029506.html这里单纯用regeorg是行不通的，因为有waf存在，流量包会被拦截，所以可以采用一些加密的手法，用regeorg升级版
项目地址
https://github.com/L-codes/Neo-reGeorg成功把流量带进内网
​
抓浏览器密码，本地密码
​
翻文件找到mysql数据库密码，找到sql服务器
​
proxifier代理nivicat.exe成功连接，获取到大量的密码
​
sql服务器开启3389，通过获取到的所有密码，爆破3389端口，成功横向到GET到内网sql服务器
​
0x5后言与探讨
因为时间的原因，这次实战到这里就结束了，剩下一些机器全是一些网关之内的东西，就没继续下去了
一些未解决想探讨的问题：
发现这台机器处于一个openstack+cloudinit搭建的虚拟实例中，应该怎么去逃逸，希望各位大佬教教弟弟
​