安全矩阵

 找回密码
 立即注册
搜索
查看: 1102|回复: 0

记针对某单位一次相对完整的渗透测试​

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-9-17 13:18:48 | 显示全部楼层 |阅读模式

记针对某单位一次相对完整的渗透测试​
原文链接:记针对某单位一次相对完整的渗透测试
CoolCat HACK之道  2022-09-17 11:00 发表于重庆

给了7个IP地址
编辑
0x01 加载中
日常探测端口信息:
[td]               
ipport
x.x.x.2228009
x.x.x.22320080
x.x.x.398008
一度以为自己探测的姿势不对,反复调整还是只扫出这些来。
都是web服务:
编辑
日常找目录:
编辑
结合结合命名规律扫描最终找到以下有效率页面
http://x.x.x.xxx:8888/z1234/http://x.x.x.xxx:20080/download/
z1234是一个报名页面,测试时已经过了报名日期,被停用,空有一个登陆页面。
download页面如下
编辑
日常反编译:
编辑
端口对得上,走http协议,挂着代理转换Web的方式进行测试。
编辑
很明显APP有签名机制,代码段如下:
编辑
跟着算法写脚本构造数据包,测试各类逻辑漏洞,代码忘记放哪个文件夹了...看最终成果:
编辑
amt参数是转账金额,转100就是参数值-100,对于的改成正数就就可以增加余额了...
编辑
按照系统机制这个金币可以直接兑换RMB或者买东西...
日常测试:
编辑
编辑
任意文件上传拿shell。
编辑
没有域,但是每台都有杀毒软件。(据说之前被某安检查出问题被罚过钱,就做了这个“防御”)
编辑
这个Hash没能解密成功。有杀软添加账户不方便,没有账户密码的话跑起TV来也是黑屏。有AV条件下添加用户可以参考https://xz.aliyun.com/t/4078, 有密码可以把端口转发到公网,也可以上传TeamViewer去远程连接,转发什么的都省了。
日常横向:
编辑
扫一个C段半小时。。。
这里最终打到一个03的服务器,激活Guest空口令登陆。
Windows server 2003默认允许空口令登陆。AV会拦截添加/删除用户,修改密码的行为,但是不会拦截将已有用户添加至管理组。
编辑
如图,双网卡。
上传masscan探测两个段:
编辑
然后批量采集端口信息并分类:
编辑
编辑
选择相对核心的资产进行端口识别,寻找脆弱点。
编辑
编辑
同类资产扩散:
编辑
口令类也一样,找到一个就在扫出来的资产里面去撞,成功率很高。
编辑
拿到命令执行权限的都读读口令,同样的再拿去撞。
编辑
常见漏洞打一波(ms17010,st2,weblogic放序列化),未见过的核心的应用系统仔细测一测。
编辑
安服仔的时间不用来屯新漏洞没翻身的空间啊。(图:该单位的行业OA的注入)
0x03 加载成功
Web方面相对核心的系统:
编辑
ms17010因为AV的原因大部分打不成功。(03的可以)
编辑
RDP:
编辑
SSH
编辑
MSSQL
编辑
MYSQL
编辑
以上口令打码的地方大部分都是该单位字母简写。
整个过程一个人花了将近三天,扫外网的7个IP几乎就花了一早上,开放的端口太少且打开都是404或403直接怀疑狗生,换着姿势扫了好几遍,解决APP数据包签名到拿到shell后已经是凌晨了,(其实可以直接Hook那个发包函数的,当时没安卓机也不熟悉,放弃了,孤军战斗的悲哀。),内网渗透主要担心有态势感知之类的被抓到权限容易掉。通过代理访问网速慢, 这方面TV优化得是真香。其他都可以基本都是在收集信息,同类扩散。





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 11:49 , Processed in 0.013525 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表