记针对某单位一次相对完整的渗透测试 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

记针对某单位一次相对完整的渗透测试

申博_安全防护 申博 26次浏览 已收录 0个评论

给了7个IP地址

记针对某单位一次相对完整的渗透测试

0x01 加载中

日常探测端口信息:

ip port
x.x.x.222 8009
x.x.x.223 20080
x.x.x.39 8008

一度以为自己探测的姿势不对,反复调整还是只扫出这些来。

都是web服务:

记针对某单位一次相对完整的渗透测试

日常找目录:

记针对某单位一次相对完整的渗透测试

结合结合命名规律扫描最终找到以下有效率页面

http://x.x.x.xxx:8888/z1234/
http://x.x.x.xxx:20080/download/

z1234是一个报名页面,测试时已经过了报名日期,被停用,空有一个登陆页面。

download页面如下

记针对某单位一次相对完整的渗透测试

日常反编译:

记针对某单位一次相对完整的渗透测试

端口对得上,走http协议,挂着代理转换Web的方式进行测试。

记针对某单位一次相对完整的渗透测试

很明显APP有签名机制,代码段如下:

记针对某单位一次相对完整的渗透测试

跟着算法写脚本构造数据包,测试各类逻辑漏洞,代码忘记放哪个文件夹了…看最终成果:

记针对某单位一次相对完整的渗透测试

amt参数是转账金额,转100就是参数值-100,对于的改成正数就就可以增加余额了…

记针对某单位一次相对完整的渗透测试

按照系统机制这个金币可以直接兑换RMB或者买东西…

日常测试:

记针对某单位一次相对完整的渗透测试

记针对某单位一次相对完整的渗透测试

任意文件上传拿shell。

记针对某单位一次相对完整的渗透测试

没有域,但是每台都有杀毒软件。(据说之前被某安检查出问题被罚过钱,就做了这个“防御”)

记针对某单位一次相对完整的渗透测试

这个Hash没能解密成功。有杀软添加账户不方便,没有账户密码的话跑起TV来也是黑屏。有AV条件下添加用户可以参考https://xz.aliyun.com/t/4078, 有密码可以把端口转发到公网,也可以上传TeamViewer去远程连接,转发什么的都省了。

日常横向:

记针对某单位一次相对完整的渗透测试

扫一个C段半小时。。。

Vimeo视频断点续传功能导致的SSRF漏洞复现

参考:https://medium.com/@dPhoeniixx/vimeo-upload-function-ssrf-7466d8630437 前言 前段时间hackerone上披露了一个Vimeo上的ssrf漏洞,原作者在medium上发表了上述的博文。我结合博文对这个漏洞进行了复现的尝试。这个漏洞主要利用了Vimeo支持云上传视频的功能。它在从云端请求视频时是通过文件链接直接拉取的,且没有对域名做校验。同时,为了支持大视频的上传,采用了断点续传的方式进行,在实现断点续传上存在响应302跳转的问题继而导致了有回显的SSRF。 断点续传 HTTP1.1协议(RFC 2616)开始支持获取文件的部分内容,这为并行下载以及断点续传提供了技术支持。一般针对大视频文件,都会采取这

这里最终打到一个03的服务器,激活Guest空口令登陆。

Windows server 2003默认允许空口令登陆。
AV会拦截添加/删除用户,修改密码的行为,但是不会拦截将已有用户添加至管理组。

记针对某单位一次相对完整的渗透测试

如图,双网卡。

上传masscan探测两个段:

记针对某单位一次相对完整的渗透测试

然后批量采集端口信息并分类:

记针对某单位一次相对完整的渗透测试

记针对某单位一次相对完整的渗透测试

选择相对核心的资产进行端口识别,寻找脆弱点。

记针对某单位一次相对完整的渗透测试

记针对某单位一次相对完整的渗透测试

同类资产扩散:

记针对某单位一次相对完整的渗透测试

口令类也一样,找到一个就在扫出来的资产里面去撞,成功率很高。

记针对某单位一次相对完整的渗透测试

拿到命令执行权限的都读读口令,同样的再拿去撞。

记针对某单位一次相对完整的渗透测试

常见漏洞打一波(ms17010,st2,weblogic放序列化),未见过的核心的应用系统仔细测一测。

记针对某单位一次相对完整的渗透测试

安服仔的时间不用来屯新漏洞没翻身的空间啊。(图:该单位的行业OA的注入)

0x03 加载成功

Web方面相对核心的系统:

记针对某单位一次相对完整的渗透测试

ms17010因为AV的原因大部分打不成功。(03的可以)

记针对某单位一次相对完整的渗透测试

RDP:

记针对某单位一次相对完整的渗透测试

SSH

记针对某单位一次相对完整的渗透测试

MSSQL

记针对某单位一次相对完整的渗透测试

MYSQL

记针对某单位一次相对完整的渗透测试

以上口令打码的地方大部分都是该单位字母简写。

整个过程一个人花了将近三天,扫外网的7个IP几乎就花了一早上,开放的端口太少且打开都是404或403直接怀疑狗生,换着姿势扫了好几遍,解决APP数据包签名到拿到shell后已经是凌晨了,(其实可以直接Hook那个发包函数的,当时没安卓机也不熟悉,放弃了,孤军战斗的悲哀。),内网渗透主要担心有态势感知之类的被抓到权限容易掉。通过代理访问网速慢, 这方面TV优化得是真香。其他都可以基本都是在收集信息,同类扩散。

写实战就像在作死一样,但也是分享经验的有效途径,如有漏码,还请师傅们手下留情,然后劳烦提醒我WX: TheKingOfGaGaGa


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明记针对某单位一次相对完整的渗透测试
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址