一锅端乱炖的攻防实战
2023-2-24 17:3:6 Author: NOVASEC(查看原文) 阅读量:15 收藏

△△△点击上方“蓝字”关注我们了解更多精彩
0x00 前言

渗透实战的过程,往往是各种漏洞的组合利用。

有些小到被忽略的漏洞,也许也能帮助你获得想想不到的成果。

这是一次综合的HVV渗透过程...

1、社工型弱口令进入系统2、文件上传获取webshell3、内网扩散,漏洞放大4、以站攻站,漏洞扩散(复用Cookie实现身份认证绕过)

本次渗透点评:

A站点登录后的cookie在B站点生效

同套系统 不同站点 后台会话 可重用.

深入分析是使用Cookie认证,且存在Cookie漏洞。

在web系统发展的当今,Cookie会话漏洞是最不常见的,这需要心和运气。

日常积累的小漏洞可能不常见,但是也要敢于去尝试,不要放弃每一点能突破的地方,万一今天你就遇到了呢?

0x01 渗透过程
1、社工型弱口令进入系统
发现账号密码是简单的社工型弱口令【地区+数字】,有合适的规则可以生成一个来爆破
使用账号密码登录目标应用成功,发现几十个W的敏感用户数据。  
弱口令值得深入研究!!!
    
弱口令进入系统

2、后台文件上传获取webshell

后台功能发现发现一处数据导入接口可以上传文件,从而获取到webshell权限

发现文件上传功能

    文件上传成功    

3、上土豆权限提升  

使用哥斯拉的土豆提权到系统权限。

4、内网扩散,漏洞放大  

查找服务器文件获取到数据库账号密码,通过webshell可直接对内网数据库进行管理和操作,后续的内网MSSQL命令执行就不说了。

5、以站攻站,漏洞扩散   

在面对另外一个YYYYYYYY平台系统靶标的一个非主端口的时候,发现YYYYYYYY:ZZZ端口扫描出来的结构与此XXXXXX平台的结构很相似。

猜测此XXXXXX平台和YYYYYYYY平台是同一套系统,打算使用文件上传的报文进行测试。

但初步测试发现该功能需要认证后才能进行上传。

多次进行尝试发现目标系统没有对未对cookie身份进行严格的校验,存在Session会话重用漏洞最终成功通过使用XXXXXX平台admin账户登录后的Cookie来对YYYYYYYY平台的同个接口进行webshell上传

抓取上传包,并修改相应IP端口为YYYYYYYY平台的地址

文件上传成功

获取到webshsell

又是两个MSSQL数据库

以翻数据结束        

0x99 免责声明

在学习本文技术或工具使用前,请您务必审慎阅读、充分理解各条款内容。

1、本团队分享的任何类型技术、工具文章等文章仅面向合法授权的企业安全建设行为与个人学习行为,严禁任何组织或个人使用本团队技术或工具进行非法活动。

2、在使用本文相关工具及技术进行测试时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。如您仅需要测试技术或工具的可行性,建议请自行搭建靶机环境,请勿对非授权目标进行扫描。

3、如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。

4、本团队目前未发起任何对外公开培训项目和其他对外收费项目,严禁任何组织或个人使用本团队名义进行非法盈利。

5、本团队所有分享工具及技术文章,严禁不经过授权的公开分享。

如果发现上述禁止行为,我们将保留追究您法律责任的权利,并由您自身承担由禁止行为造成的任何后果。

END

如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!

或添加NOVASEC-余生 以便于及时回复。

感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!

本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!!


文章来源: http://mp.weixin.qq.com/s?__biz=MzUzODU3ODA0MA==&mid=2247488700&idx=1&sn=cf1216c32aa53a08fdb9fa543659088e&chksm=fad4c9abcda340bd530cdb7b88886ab47e0b24e8b22c8e3f31fefe997b08d9c5b337c0bf6f90#rd
如有侵权请联系:admin#unsafe.sh