安全矩阵

 找回密码
 立即注册
搜索
查看: 921|回复: 0

日常记录对某站点的实战渗透

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-10-13 19:55:25 | 显示全部楼层 |阅读模式
刨洞安全团队 刨洞安全团队 2023-10-13 08:30 发表于广东

近段时间来也没怎么更新,在这里就来水篇文章吧

前段时间一直在做项目,来分享并且记录一下自己的一些成果,和一些小思路


信息收集

渗透的第一步肯定是信息收集了,因为由于项目的渗透条件有限,就不做子域名的采集了,超出资产测试范围。

打开网站,发现是个登录框,比较头疼的就是这样的情况,因为没有多少功能点。



wap 插件探测的指纹信息为 tomcatjsp

shodan 插件显示开放端口:1099 3001 3306 5353 9090

nmap 扫描扫描出来 10081 端口,打开发现是同样的登录框页面

网站信息:

  1. 开放端口:1099 3001 3306 5353 9090 10081
  2. 数据库:mysql
  3. 服务器:linux
  4. 中间件:tomcat
复制代码

漏洞挖掘

网站的后台页面为 www.xxx.com/index.action

.action 结尾的可能是 st2 写的,直接拿 st2 的 exp 来打一下试试看,或许能有惊喜呢!

扫完后并未发现存在 st2 的反序列化漏洞

尝试万能密码和注入也不行,想想还是扫描目录吧

针对于单个站点,并且没有域名的网站还是直接上 dirsearch 快速的扫描一下,主要的还是扫描一些敏感目录。

  1. python3 dirsearch -u http://xxx.com -e *
复制代码

扫描到 WEB-INF 路径,打开后发现个目录遍历

翻找目录看看能不能翻到有用的东西,这里可以直接定位到 classes 目录一般配置文章都存放在 classes 文件夹中

发现里面有很多配置文件,在 jsp 中数据库的连接密码普遍会存放在 xxx..properties 文件中,打开 jdbc.properties

这里直接就显示了他的各种数据库的连接账户和密码

根据前面收集到的信息该数据库为 mysql 并且开放的端口为 3306 就可以直接连接他的数据库,如果权限大的话可以直接写入一句话 getshell

使用 navicat 连接:

数据库连接成功后,先来看看他的权限

发现该用户权限和 root 用户的权限相等,并且密码相同

因为这里没有绝对路径,所以先翻找表内容,发现在 manber 表里面 admin 的密码,md5 的值,拿到 md5 解密网站上面解密出来后,拿到后台进行登录

打开后台后,发现大部分页面点不开,上传点也没找到

但从这爆出了 web 目录的绝对路径可以记录一下,后台未找到上传点,回到数据库里面继续进行渗透。该数据库用户有读写权限,可以直接写入 webshell

查看 secure_file_priv 是否为空

  1. SHOW VARIABLES LIKE "secure_file_priv";
复制代码

先来尝试一下能不能直接写入 udf 执行命令,查询 plugin 插件目录所在位置

  1. show variables like '%plugin%';
复制代码

  1. select unhex('7F454C4602010100000F696E697400') into dumpfile '/opt/thirdsoft-2.0/mysql-5.1.42/lib/plugin/udf.so';
复制代码


显示无法创建写入 udf.so 文件,那么来试试直接写入 shell

  1. SELECT 0x3c25407061676520696d706f72743d226a6176612e7574696c2e2a2c6a61c6a63732b253e into OUTFILE '/home/xxx/xxx-3.4.1/web/abc.jsp'
复制代码

这里依旧写入不了,由于旁站啥的也没,所以这个点只能放弃了。

结尾


对于近期这些站还是比较头疼,尤其是对着各种登录框,功能点也比较少,能测的点不多。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 00:56 , Processed in 0.013067 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表