本文总结一下今年某次 hw 渗透测试过程,虽然现在的教育机构越来越重视安全,但没有绝对的安全,所谓的安全性其实都是相对的。还有部分内容可以点击前往查看
1. 信息踩点
在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。具体为拿到目标域名,二话不说信息收集一波,常规操作,phpinfo.me/oneforall 子域名,fofa / 钟馗找资产,googlehacking 找历史泄露信息,nmap 端口开扫,等等,还不错十几个站点。然后就是习惯性地见后台就弱口令,见. do/.action 就 structs 洞,见 tomcat 就后台弱口令,各种 sql 注入,逻辑漏洞,xss 当然也试试啦,然并卵,两个小时过去了,一无所获。
2. 硬怼 CAS
大家都知道很多教育机构为了保护已有老旧资产、避免重复登录机构内部多个系统,纷纷对接了统一验证平台
这种 CAS 一般是非常安全的,但是我这里居然发现了一个可怕的逻辑漏洞。具体讲就是,在密码找回功能中,输入管理员账号 admin 时,由于没有绑定验证方式,居然直接弹出信息提示 “没有绑定邮箱”,且给出了该用户的身份证号!
于是我利用这些信息居然就重新绑定了自己的邮箱进行重置密码成功!
利用管理员账号登陆统一门户,进入后,发现该账户具有超级管理员权限,门户中的很多站点都能够直接进入其中
3. 绕 WAF 拿 shell
找了一遍没有 VPN 系统,于是考虑先拿个 webshell 获取内网通道,这里选了个网络办公系统。进入发件箱 -> 写信
发现页面上文件上传功能出现后又消失,利用开发者工具查看 js 代码:
复制本地查看:
获取上传地址:/GED-0.7/UploadEmailAttach?TOPATH=//gfs//tdata//GED-0.7//emailAttach/
文件名添加垃圾字符绕过 waf:
拼接 url 获取 shell 地址:
http://xxx.com/GED-0.7//emailAttach//856193bba7a24a758b343564564567af.jspx:
接着利用 frp 搭建跳板,突破边界进入目标内网
ifconfig 发现若干内网网段
4. 内网横行
内网一般而言防守比较薄弱,存在很多弱口令机器,及能够直接 rce 的机器(如 struts/shiro/ms17010 等),这里具体举例如下:
(1)交换机弱口令 123456
目标为 http://192.168.xxx.xx/ip.html
(2)一台 sqlserver 数据库服务器弱口令 sa/sa 可执行系统命令
增加一个账户, 并加到管理员组
直接通过 test test@123 账号登录机器远程桌面
改注册表复制 test 为 administrator 以管理员的权限上了这台 192.168.xx.xxx,在其桌面上的视频监控系统能看到摄像头两台
(3)redis 数据库未授权访问(可 getshell)
5. 总结
总体渗透思路就是信息搜集 ->CAS 逻辑漏洞 -> 文件上传漏洞绕 WAF->frp 跳板进内网 -> 内网横向等等。