安全矩阵

 找回密码
 立即注册
搜索
查看: 2647|回复: 0

记一次授权实战

[复制链接]

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-8-2 08:55:24 | 显示全部楼层 |阅读模式
原文链接:记一次授权实战

0x1前言
好久没写文章了,写一下最近的一个实战,仅供笔者记录与学习
0x2前期信息搜集
IP,端口,whois,目录扫描这些就不多说了,做是做了,虽然没啥用。记录一下这次的一些不一样的信息搜集。首先,在目标官网上发现一处公公众号二维码,就不放出来了,放出来必死。关注后抓包,发现一处信息泄露,泄露了几百个用户姓名,电话号,邮箱等信息

用python爬取这些信息中的姓名,电话号码,等有效信息,做了一份字典
0x3突破口
字典就绪过后,尝试爆破后台,无奈有验证码+登录次数限制,无奈放弃爆破。继续寻找,发现一处注册页面可上传文件

改后缀上传失败,发现有安全狗waf

这里采用双写filename的方式绕过安全狗,并成功上传

这里返回了半个路径,经过一段时间的fuzz,找到了目录,但使用冰蝎3连接失败,目标报错信息如下

报了个无法编译的错,经过测试我发现这里会对文件头进行一个检测,也就是必须带图片头,才能正确上传,所以我上传的jsp都是带有一部分文件头的冗余的,分析了一下原因报错原因
1、waf的锅
2、百度了一下说可能是tomcat版本过低
3、文件头的锅导致不能正常解析
0x4解决问题到内网
本地测试了一下waf,发现冰蝎的马是可行的,那么剩下的问题,我用以下方式解决掉
1、换成冰蝎2的马
2、文件头用注释符注释掉,让其不影响webshell的解析
类似与这样

成功解析getshell

稍微看了下网络环境,win2008r2,站库分离,目标不出网,开放3389
目标不出网采用regeorg+proxifier的方式,把本地流量带入内网,参考我的博客
https://www.cnblogs.com/lightwind6/p/15029506.html这里单纯用regeorg是行不通的,因为有waf存在,流量包会被拦截,所以可以采用一些加密的手法,用regeorg升级版
项目地址
https://github.com/L-codes/Neo-reGeorg成功把流量带进内网

抓浏览器密码,本地密码

翻文件找到mysql数据库密码,找到sql服务器

proxifier代理nivicat.exe成功连接,获取到大量的密码

sql服务器开启3389,通过获取到的所有密码,爆破3389端口,成功横向到GET到内网sql服务器

0x5后言与探讨
因为时间的原因,这次实战到这里就结束了,剩下一些机器全是一些网关之内的东西,就没继续下去了
一些未解决想探讨的问题:
发现这台机器处于一个openstack+cloudinit搭建的虚拟实例中,应该怎么去逃逸,希望各位大佬教教弟弟


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 13:42 , Processed in 0.013235 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表