一次异常艰难的渗透测试

于 2024-08-15 14:38:58 发布
阅读量514 收藏 17
点赞数 12
文章标签: 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83799022/article/details/141221824
版权

0x01 暴力破解

朴实无华的弱口令,我都怀疑是不是交互式蜜罐。

0x02 文件上传

该系统所有文件上传功能均通过同一方式进行上传。

文件列表,可以看到文件上传后,从文件列表处能看到FileDir+FilePath为文件路径的存放路径,文件名为GUID去掉-号。

而系统对文件的加载方式是通过FileGUID对文件进行加载,FileGUID不存在注入。

0x03 SQL注入

通过对各个功能点进行测试,最终在投票功能的修改参与人功能中发现了注入功能点,得到用户表为t_userinfo,而且看起来是可以执行多条语句的堆叠注入。

涉及到DELETE和INSERT还是放弃使用SQLMAP,打个报错注入,嗯...吞字符串,使用substr分割就行,但是太慢了,不是我的风格。

并且测试时发现在堆叠注入中可以把数据直接返回,开发怎么写的代码...

哟呵,还有waf,我前面这么敏感的操作你都不拦现在给我拦了?看起来应该不会太强大。

果不其然,最终加上左右括号就绕过了。

最终读取到管理员的账号密码,进入后台一顿测试,终于还是什么都没有发现,回过头来研究研究注入吧,mysql拿权限的方式不多,而且是普通用户权限。

0x04 组合漏洞

难道就这样结束了吗,突然灵光一闪,堆叠是吧,前面的图片加载方式貌似就是通过FileGUID从数据库查询保存的路径来读取文件,那岂不是可以通过堆叠设置文件路径读取任意文件?

那么下一个问题,web路径呢?有没可能目标中间件是Tomcat,~试试

只能说运气不错。

0x05 读取源码

读取web.xml,还发现了一个/admin/login.jsp,划重点后面会考,当时没有注意这个位置。

先读取源码如com.xxx.core.filter.SecurityFilter在tomcat的文件位置为/webapps/ROOT/WEB-INF/classes/com/xxx/core/filter/SecurityFilter.class,当然开发有可能把核心打包为jar文件放到/lib/目录,那就没办法读了,猜包名太难了。

MD,FileDir还有长度限制,但问题不大,因为还有读取文件的方式是FileDir+FilePath,超过长度的字符写在FilePath就行。

依照此方法+源码内部依赖的类,我获取了部分的源码,并在其中审计了一些漏洞,如认证权限绕过,注入点等。但是还是很可惜没有办法getshell,因为这个网站的开发非常神奇,后续会为大家介绍。

0x06 后台登录

有点烦,后续进行了:读取tomcat日志,log4j日志(不存在log4j漏洞),配置文件、猜测jar包名、备份文件(webapps/ROOT.压缩文件后缀、绝对路径tomcat.压缩文件后缀等)各种一顿操作,虽然没啥用,但也获取到了一部分的信息,这在后续给到了我很多帮助。

回到web.xml,访问了/admin/login.jsp,大概是这样(自己画的)

使用数据库之前读取的到前台管理用户账号密码发现登录不了,难道存在另一个表了?配置之前获取到的log4j的debug日志找到了执行的sql语句,尝试读了一下,发现居然读不到该表。

???惊呆了,不对,有一万分的不对,再详细的回想一下,我从数据库配置文件中读取到的明明是root用户,而注入执行的是普通用户。

仔细的审计了一下获取到的部分源码,狗东西跟我玩这一套。

网站的大概设计是:前台通过SourceCode和ROOT的数据库,获取数据库中的配置好的数据库配置信息,设置一个新的数据源,前台的数据都从这个数据源获得,所有导致注入点获取的是普通用户权限的配置源,而不是ROOT用户的。

不过他获取配置源的位置存在注入,也就是说我们依旧可以使用ROOT的通过注入执行语句,不过这次的是selectOne不是堆叠,问题不大,我主要是想获取它的后台密码。

0x07 jdbc反序列化

在后台中第一时间发现了数据源配置的功能点,和我之前猜想的一致,第一时间想到打jdbc反序列化,很可惜目标不出网。

0x08 RCE

后台功能点也不算多,能测的都测差不多了,不过有个位置是用来调试sql语句的位置,至于为什么有这个功能,因为他本身就是通过后台配置功能点,来实现对网站接口动态控制,我之前获取到的源码,基本上就是公共类的实现。

找了一会找到了一个ROOT权限执行的语句的功能点。

查询secure_file_priv

日志写入getshell

.......这开发脑子有坑,这SQL语句还用XML解析,服了不用想就知道是<>这两个符号导致的。

xml转换一下

< 转换为 &lt;
> 转换为 &gt;

访问一下文件,打完收工。

0x09 总结

一次很有意思的渗透测试:

从暴力破解——》普通用户权限注入——》堆叠注入+文件下载的任意文件读取——》配置文件+源码审计——》ROOT权限SELECT注入——》读取后台账号密码——》jdbc反序列化不出网——》ROOT权限执行SQL语句功能——》日志文件写shell——》xml格式踩坑

网络安全工程师老王
关注
一次异常艰难的域靶场渗透
爱国小白帽
04-02 3566
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理 资源连接 链接:https://pan.baidu.com/s/14kEm-MDzuhct80NGYwZC-w 提取码:w0cz 渗透要求及工具: 要求 内存8G以上,需要五台虚拟机全开 过程中不得使用任何一台渗透靶机 目标 找到3个flag...
如何写好一份渗透测试报告
hhdandan的博客
01-10 701
有成千上万的书籍讲解什么是信息安全,什么是渗透测试,也有数不清的培训课程视频。但是,我敢打赌,在这些材料中,只有不到10%是在写报告的事情。在一个完整的渗透测试过程中,有将近一半的时间都用在了编写报告上,这听起来很让人吃惊,但是也并不奇怪。
一个完整的Web安全渗透测试流程
m0_58026506的博客
09-05 762
明确目标 1)确定范围 测试的范围,如:IP、域名、内外网、整站or部分模块。 2)确定规则 能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权... · 目标系统介绍、重点保护对象及特性。 · 是否允许数据破坏? · 是否允许阻断业务正常运行? · 测试之前是否应当知会相关部门接口人? · 接入方式?外网和内网? · 测试是发现问题就算成功,还是尽可能的发现多的问题? · 渗透过程是否需要考虑社会工程?
如何写好一份渗透测试报告?
weixin_34334744的博客
07-03 501
当你连续奋战了好几天,终于合上了笔记本,想要出去透透风时,一个熟悉的问句传来:“你好,请问什么时候可以交付报告?” 有成千上万的书籍讲解什么是信息安全,什么是渗透测试,也有数不清的培训课程视频。但是,我敢打赌,在这些材料中,只有不到10%是在讲写报告的事情。在一个完整的渗透测试过程中,有将近一半的时间都用在了编写报告上,这听起来很让人吃惊,但是也并不奇...
网络安全一次艰难的WAF绕过
kali_Ma的博客
11-09 1407
0x00:前言 做之前没想过有这么难 0x01:后缀绕过 首先看一下waf咋工作的,当数据包匹配到waf规则后,数据包就会被丢弃掉,就像这样 waf是拦截后缀的,首先fuzz一波 换行 失败 多个等于号 失败 单双引号替换 失败 去掉引号 失败 溢出Content-Disposition字段 失败,而且不清楚是因为服务器性能原因还是规则有这个,当此字段太长的时候(具体多长不清楚),正常上传图片数据包也会被丢弃。 【一>所有资源获取<一】 1、200多本网络安全系列电子书(该有的都有
渗透测试以及安全面试的经验之谈-技术篇
weixin_34100227的博客
06-18 9982
技术面试问题 CTF 说一个印象深刻的CTF的题目 Padding Oracle->CBC->密码学(RSA/AES/DSA/SM) CRC32 反序列化漏洞 sql二次注入 第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身还是...
【安全狐】渗透测试报告编写要点
安全狐
10-02 534
重点:渗透测试结果: (1)漏洞名称 (2)漏洞地址 (3)危险等级 (4)漏洞说明(截图) (5)漏洞危害 (6)修复方案
软件测试报告示例模板
qq_73332379的博客
08-07 1053
测试用例:根据需求规格说明书或设计文档编写的用于验证软件功能或性能的一组输入、执行条件和预期结果。测试缺陷:指在测试过程中发现的软件不符合需求或设计的问题,包括功能缺陷、性能缺陷、安全缺陷和兼容性缺陷等。测试覆盖率:指测试用例覆盖需求或设计的百分比,反映了测试的完整性。测试通过率:指测试用例执行通过的百分比,反映了软件的正确性。
面试问答之转账功能测试点详解
2301_80119299的博客
07-29 476
在测试过程中,测试人员可以参考上面说的角度来进行分析,根据这些情况来设计测试用例场景,只有经过最严谨的测试的转账功能,才能够尽可能的避免上线后出现问题。针对现在通过各种相关的软件进行便捷转账的操作,也渗透到生活中方方面面,转账功能的测试也被高频率的出现在面试中,那么如何来进行呢?18、在进行转账过程中,是否要收取手续费,以及收取手续费时,是否根据转账的金额来生成正确的费用;对于转账功能,在目前的软件产品中是很常见的,那么针对转账模块的测试需求点,以及对应的。14、转账金额编辑框为空进行转账测试;
渗透测试笔记:爬虫变蠕虫的故事
Wand的博客
09-07 5070
写这篇文,主要想以日记的形式记录下我在整个测试(gongji)过程中的 心路历程、所用技术、填的坑等等。。 为了让文章显得不那么呆板,不那么流水,我尽量使用一些文艺点的词汇。 9月份的广州,一天天总是有雨。 我呆坐在华工图书馆里,望着窗外灰蒙蒙的天,湿漉漉的地,还有对面心情略显阴 沉的小W。 我很清楚她为什么心情不好,作业被老师刁难谁会好受呢。 本着一份打抱不
[系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现
杨秀璋的专栏
01-21 9951
作者前面详细介绍了熊猫烧香病毒的逆向分析过程。这篇文章换个主题继续介绍,本文将对Chrome浏览器保留密码的功能进行渗透解析;同时复现一个最近流行的漏洞,通过Chrome浏览器实现Win10蓝屏;最后介绍音乐软件的加密功能及漏洞复现。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,开发厂商进行相关的漏洞修补,安全保障任重道远。
内网渗透常用提权方式总结
j1044957016的博客
06-01 7572
内网菜鸡艰难学习,希望一样的菜鸡能省去打开一堆链接的时间吧
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8461
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于大模型技术的算力产业监测服务平台设计
09-17
内容概要:本文提出了一种新型算力产业监测服务平台的设计理念,运用国内自主研发的大模型技术支持,通过对传统技术的改进和完善,提出了三层架构的设计方法,即基础设施层(含向量数据库和模型训练)、大模型应用框架层(强化数据处理与多维关系挖掘)及业务层(如智能分析助手)。这种设计方案旨在提高算力产业发展监测与决策制定的质量。 适合人群:电信行业的从业人员及研究人员;算力产业链各环节管理者;政府相关机构和政策决策者。 使用场景及目标:在多种算力相关的应用场景(如云计算中心管理,数据中心监测,政策分析)中辅助决策者进行快速有效的信息获取和技术选择;助力算力产业发展方向的精确把控和战略调整。 其他说明:随着大模型技术的日臻成熟,该算力产业监测服务平台预计将进一步丰富自身的应用领域和服务深度,以促进算力行业更智慧化发展。
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot.zip
最新发布
09-17
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot
吉他谱_What I've Done - Linkin Park.pdf
09-17
初级入门吉他谱 guitar tab
入门网络安全渗透测试:从基础到进阶
- 逻辑编程:学习至少一种编程语言,如Python,因为许多渗透测试工具都基于它,编程能力有助于编写自定义脚本和自动化任务。 - 操作系统管理:掌握Linux、Windows和Mac等常见操作系统的使用和管理,Linux尤其重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值