刨洞安全团队 刨洞安全团队 2023-10-13 08:30 发表于广东
近段时间来也没怎么更新,在这里就来水篇文章吧 前段时间一直在做项目,来分享并且记录一下自己的一些成果,和一些小思路
信息收集 渗透的第一步肯定是信息收集了,因为由于项目的渗透条件有限,就不做子域名的采集了,超出资产测试范围。 打开网站,发现是个登录框,比较头疼的就是这样的情况,因为没有多少功能点。
wap 插件探测的指纹信息为 tomcat、jsp
shodan 插件显示开放端口:1099 3001 3306 5353 9090
nmap 扫描扫描出来 10081 端口,打开发现是同样的登录框页面 网站信息: - 开放端口:1099 3001 3306 5353 9090 10081
- 数据库:mysql
- 服务器:linux
- 中间件:tomcat
漏洞挖掘 网站的后台页面为 www.xxx.com/index.action .action 结尾的可能是 st2 写的,直接拿 st2 的 exp 来打一下试试看,或许能有惊喜呢! 扫完后并未发现存在 st2 的反序列化漏洞 尝试万能密码和注入也不行,想想还是扫描目录吧 针对于单个站点,并且没有域名的网站还是直接上 dirsearch 快速的扫描一下,主要的还是扫描一些敏感目录。 - python3 dirsearch -u http://xxx.com -e *
扫描到 WEB-INF 路径,打开后发现个目录遍历
翻找目录看看能不能翻到有用的东西,这里可以直接定位到 classes 目录一般配置文章都存放在 classes 文件夹中
发现里面有很多配置文件,在 jsp 中数据库的连接密码普遍会存放在 xxx..properties 文件中,打开 jdbc.properties
这里直接就显示了他的各种数据库的连接账户和密码 根据前面收集到的信息该数据库为 mysql 并且开放的端口为 3306 就可以直接连接他的数据库,如果权限大的话可以直接写入一句话 getshell 使用 navicat 连接: 数据库连接成功后,先来看看他的权限
发现该用户权限和 root 用户的权限相等,并且密码相同 因为这里没有绝对路径,所以先翻找表内容,发现在 manber 表里面 admin 的密码,md5 的值,拿到 md5 解密网站上面解密出来后,拿到后台进行登录 打开后台后,发现大部分页面点不开,上传点也没找到 但从这爆出了 web 目录的绝对路径可以记录一下,后台未找到上传点,回到数据库里面继续进行渗透。该数据库用户有读写权限,可以直接写入 webshell 查看 secure_file_priv 是否为空 - SHOW VARIABLES LIKE "secure_file_priv";
先来尝试一下能不能直接写入 udf 执行命令,查询 plugin 插件目录所在位置 - show variables like '%plugin%';
- select unhex('7F454C4602010100000F696E697400') into dumpfile '/opt/thirdsoft-2.0/mysql-5.1.42/lib/plugin/udf.so';
显示无法创建写入 udf.so 文件,那么来试试直接写入 shell - SELECT 0x3c25407061676520696d706f72743d226a6176612e7574696c2e2a2c6a61c6a63732b253e into OUTFILE '/home/xxx/xxx-3.4.1/web/abc.jsp'
这里依旧写入不了,由于旁站啥的也没,所以这个点只能放弃了。
结尾
对于近期这些站还是比较头疼,尤其是对着各种登录框,功能点也比较少,能测的点不多。
| 
发表于 2023-10-13 19:55:25