记针对某单位一次相对完整的渗透测试

2019-12-26 约 76 字 预计阅读 1 分钟

声明:本文 【记针对某单位一次相对完整的渗透测试】 由作者 CoolCat 于 2019-12-26 12:35:16 首发 先知社区 曾经 浏览数 611 次

感谢 CoolCat 的辛苦付出!

给了7个IP地址

0x01 加载中

日常探测端口信息:

ip port
x.x.x.222 8009
x.x.x.223 20080
x.x.x.39 8008

一度以为自己探测的姿势不对,反复调整还是只扫出这些来。

都是web服务:

日常找目录:

结合结合命名规律扫描最终找到以下有效率页面

http://x.x.x.222:8009/z2019/
http://x.x.x.223:20080/download/

z2019是一个报名页面,测试时已经过了报名日期,被停用,空有一个登陆页面。

download页面如下

日常反编译:

端口对得上,走http协议,挂着代理转换Web的方式进行测试。

很明显APP有签名机制,代码段如下:

跟着算法写脚本构造数据包,测试各类逻辑漏洞,代码忘记放哪个文件夹了...看最终成果:

amt参数是转账金额,转100就是参数值-100,对于的改成正数就就可以增加余额了...

按照系统机制这个金币可以直接兑换RMB或者买东西...

日常测试:

任意文件上传拿shell。

没有域,但是每台都有杀毒软件。(据说之前被某安检查出问题被罚过钱,就做了这个“防御”)

这个Hash没能解密成功。有杀软添加账户不方便,没有账户密码的话跑起TV来也是黑屏。有AV条件下添加用户可以参考https://xz.aliyun.com/t/4078, 有密码可以把端口转发到公网,也可以上传TeamViewer去远程连接,转发什么的都省了。

日常横向:

扫一个C段半小时。。。

这里最终打到一个03的服务器,激活Guest空口令登陆。

Windows server 2003默认允许空口令登陆。
AV会拦截添加/删除用户,修改密码的行为,但是不会拦截将已有用户添加至管理组。

如图,双网卡。

上传masscan探测两个段:

然后批量采集端口信息并分类:

选择相对核心的资产进行端口识别,寻找脆弱点。

同类资产扩散:

口令类也一样,找到一个就在扫出来的资产里面去撞,成功率很高。

拿到命令执行权限的都读读口令,同样的再拿去撞。

常见漏洞打一波(ms17010,st2,weblogic放序列化),未见过的核心的应用系统仔细测一测。

安服仔的时间不用来屯新漏洞没翻身的空间啊。(图:该单位的行业OA的注入)

0x03 加载成功

Web方面相对核心的系统:

ms17010因为AV的原因大部分打不成功。(03的可以)

RDP:

SSH

MSSQL

MYSQL

以上口令打码的地方大部分都是该单位字母简写。

整个过程一个人花了将近三天,扫外网的7个IP几乎就花了一早上,开放的端口太少且打开都是404或403直接怀疑狗生,换着姿势扫了好几遍,解决APP数据包签名到拿到shell后已经是凌晨了,(其实可以直接Hook那个发包函数的,当时没安卓机也不熟悉,放弃了,孤军战斗的悲哀。),内网渗透主要担心有态势感知之类的被抓到权限容易掉。通过代理访问网速慢, 这方面TV优化得是真香。其他都可以基本都是在收集信息,同类扩散。

关键词:[‘渗透测试’, ‘渗透测试’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now