记一次授权网络攻防演练:屡败屡战的一次实战经历
来源:岁月联盟
时间:2020-03-16
哎,谢天谢地啊 有个密码.txt,But ! !! 我发现无法用xp_cmdshell读取中文文件,不管是sqlmap还是手工注入都没办法。这下该这么搞啊! Bingo ! 目录txt不多的话,可以这样做。先合并所有txt,再读取就行了!
copy *.txt 1.txt
type 1.txt
Note:发现里面只是一串乱码,像是某软件自动生成的强密码,后面也没发现有什么鸟用!
继续翻找IIS接口,在另外一台服务器上,发现了这样的soap接口
根据我挖洞的经验,这显然是一个任意文件读取!
果然,base64解码后就是web.config,顺便试了下XXE,不存在,不过也无所谓了。
任意文件读取如何getshell?只能读配置文件获取数据库密码,远程连接上去getshell。
盲猜各种中间件的配置文件路径后,仅仅只获取了IIS的配置文件,然而IIS的配置文件里就仅仅只有一个网站,就是FileService.asmx接口网站,里面没有任何有用信息
C:/Windows/System32/inetsrv/config/applicationHost.config
换而言之还是没什么鸟用!
我将注意力转回数据库2服务器,开始在数据库2服务器中跨库寻找账户密码,以此用来登录各种工作web。
这是一个力气活,我用sqlmap跑了所有库的表名,然后寻找user,admin,manager相关表名,在其中寻觅管理员密码。
运气依旧不太好,库里的大部分面都有salt或者含密钥的加密方式,少部分md5解出来还是弱密码。
不过用户名特征很明显,是员工工号,以及有一个j***admin的通用管理员账户,这些特征使我能够用123456、admin123等弱密码反过来匹配用户名字典。最终进入了一个aspx的后台。
但是此后台似乎已被废弃,所有功能都没有数据,而且无法上传任何文件,会提示不存在目录
至此,我已经耗了整整两天的时间,拥有如下收获:
http://www.z*****.com/****.aspx?lmid=11&acid=38917
dba+system注入点,库站分离,不通外网
http://*p.z****.com/admin
j**cms后台,只能上传小于2M的文件
http://2**.***.***.*6:8081/*e.asmx
dba+system注入点,库站分离,不通外网
http://2**.***.***.*5/FileService.asmx
任意文件读取
http:// 2**.***.***.*6:8084/login.aspx
aspx后台,无用
可谓屡战屡败,屡败屡战!
收拾心情,继续战斗。我开始挑战那些仅仅只有一个登录界面的工作web!
就一个登录界面能有哪些漏洞呢
1、弱密码/爆破——我有用户名字典可以匹配弱密码
2、万能密码/注入
3、前端验证/修改返回码
4、后台强制js跳转而不是302跳转
经过不懈努力,终于再次找到一个oracle的dba注入点
登录框有一个搜索门店的功能,并没有放过这个小地方。
这儿还有很少见的oracle报错注入,我还从来没在实战环境中见过这种,还顺便练习了下手注语句。然后继续跑密码,但是跑出来的密码还是登陆不上。
之后还经历了各种前端验证,但依旧检测session然后将你302跳转T出来的,html框架不校验身份但是do接口校验权限的,总而言之就是那种各种给你希望却带来绝望的,搞的我现在很怀疑人生!
继续把这些失败的经历说出来实在没有必要,最终也确实搞到了webshell,那么突破点在哪儿呢?
还是从这些工作web里翻找js文件,在js文件中发现这样一个接口
Note:熟悉的不能再熟悉的weblogic,赶紧第一时间检查/wls-wsat/CoordinatorPortType
我感动的留下了泪水,不能哭 忍住!
CVE-2017-3506/CVE-2017-10271/CVE-2019-2725/CVE-2019-2729全部打一遍。
最终使用shack2的工具成功getshell—>8000大洋成功到手!好开心
https://github.com/shack2/javase … es/tag/1.0.20190828
0×02 回顾
两个mssql数据库服务器—>通过xp_cmdshell执行ipconfig获得ip
任意文件读取—>通过读取IIS配置文件获得ip
oracle数据库服务器—>通过utl_inaddr.get_host_address获取ip
weblogic—>反序列化ipconfig获取ip
互ping之后确认自己没有日偏了,它们全在同一内网中,而且横跨了至少3个B段,看样子远远没有结束,后面的事情恐怕更加复杂。
0×03 结束语
我太难了!
Life is short,play more! enjoy this moment.
上一页 [1] [2] [3]
