安全矩阵

 找回密码
 立即注册
搜索
查看: 3801|回复: 0

记一次漏洞组合拳拿下内网

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-10-9 09:23:21 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2020-10-9 09:24 编辑

原文链接:记一次漏洞组合拳拿下内网

背景

某日接到一个hw项目。在充分授权的情况下,针对客户的系统进行渗透测试,目标是某著名企业,资产较多。

突破
  • 首先是针对目标进行资产搜集,因为客户为集团公司,旗下子公司很多,所以根据目标企业名称查询出他所有的分公司,在根据分公司名称查询出客户所备案过的主域名,再将主域名导入资产收集平台,进行子域名及IP端口资产的搜集

  • 在针对目标进行资产搜集的时候,发现了这么一个系统



没有验证码,且可以使用手机号登录;通常来说这类系统肯定存在测试账号,使用Burp搭载手机号Top4000字典一同爆破,进入到了一个查询人员账号

在“基础信息管理”功能的地方,存在越权,可以查看到管理员手机号,以及账号默认密码为手机号后3位+手机号后3位

但是尝试了默认口令以及弱口令Top10000,均未爆开,至此在Web侧已经没什么可以利用的地方了,但是忽然回想起在登陆界面有个二维码,是手机APP的下载地址,于是把APP安装来分析。
首先输入之前爆破来的账号,尝试登陆

登陆进去以后发现功能只有1个

Burp康康刚才登录的数据包

发现返回包可以看到返回了用户ID,手机号

尝试将ID和手机号修改为管理员的,即可成功越权访问到管理员面板

在某处功能找到了任意文件上传,验证方式仅仅为前端验证,抓包修改后缀为.jsp即可绕过,但是他上传并不返回文件路径,且通过fuzz测试判断,文件的存储路径和Web路径并不在一起


于是继续在APP找,终于又找到了一处任意文件读取,尝试构造../的形式去读取Tomcat的日志,找到了网站的绝对路径

构造路径,拿下WebShell


上线到CobaltStrike,抓取到管理员密码及RDP服务端口,成功拿下此系统







回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 07:48 , Processed in 0.012589 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表