记一次厂商的渗透之旅
前记
最近拿到了一个比较有意思的站点,所以就想着写一篇博客分享一下渗透思路,文内的一些厂商信息我已经打上了码,但是相信还是会有眼尖的小伙伴。关于上传的一些木马文件在测试后我也会删除,目前漏洞已经提交,所以大家可以放心阅读。
初见站点
首先,在我们已经确定了目标站点的时候,需要做的第一步自然就是信息收集,这在整个渗透过程中,十分重要。
以上就是我们本次的目标站点,一般来讲,对于一些较大的厂商的,主站通常不会有漏洞。所以我们可以从旁站入手,通过子域名以及ip反查等手段进行收集信息。
通过子域名查询,我们可以看到一共有16个子域名,箭头所指就是我们本次发现漏洞的站点了,下面我们去访问这个站点。
发现是一个管理系统,但是只是只是连接的一些其他子域名的系统管理。尝试注册账号,发现也并不是开放式注册。
所以继续把焦点放到刚才那个站点,尝试对其进行端口主机扫描。对于获取其ip信息的方法也比较简单,可以直接ping,没有发现CDN,并且可以直接通过ip访问站点。
发现漏洞
现在我们对目标站点尝试扫描端口服务及主机信息。
通过上述扫描我们可知,他们安了很多http服务和tomcat服务,事实上在后面的渗透里越发能感受到,他网站搭建的给人一种混乱的感觉。通过对以上端口的逐个访问,我们发现在5000端口上可以进行任意文件访问。
通过翻阅这些文件,我们不难发现这个站点仍然有人在维护更新。也找到了一些比较有意思的东西。
例如这样一个任意路径文件上传,没有过滤手段。
亦或是这样一个任意SQL语句执行的接口,不得不说,维护人员在给给自己提供便利的同时也给了攻击者提供了大便利。
顺藤摸瓜
通过对上述文件任意查看处,我们获得了一个很有意思的情报。
可以看到一个名为测试的文件中记录着一处上传点是在7766端口上的。问我为什么下面那个没打码?那是它内网的ip,知道了也访问不到哈哈,说到这一把泪不争气的流了出来,我们继续往下看。
果然又是一个无过滤上传点,这里我们上传了一个asp的大马(测完就删了)。
看到他的这些目录名,我还是想吐槽一句,站搭的乱,名起的也乱。
这里我们发现他的站点用户是admin?但是奇怪的是我们在后续的渗透中没有办法执行系统命令。显示的是存取被拒,这里其实就比较奇怪。
在测试过程中有一个坑,我不知道是个例还是普遍,我使用菜刀没有办法连接一句话木马,但是使用蚁剑却连接成功了,这也让我走了一段弯路。当然,我尝试上传msfvenom生成的木马想要拿到meterpreter进行内网渗透,但是上传的asp文件显示的是http 500,我想可能是维护人员禁用了某些函数?比如execute我尝试确实不能正常使用。
一段插曲
说到这里我就一句mmp,我们来看一下,通过文件搜索admin关键词,我们找到了一个管理员登录界面。
然后我就去搜索这个目录,去查看源码。
如图所示,时间也确实久远了。
本段代码中,我们发现他进行了数据库查询,说实话,典型的SQL注入,这我不多说了。
我们看第一行他包含了conn.asp文件,这应该是是他数据库连接文件,我们再去查看一些conn.asp文件。
看到这里我们,是一段经典的数据库连接代码 ,下面有一个分页方法。在箭头所指处我们可以看到他查询的是data/news.mdb数据库文件。然后我们再去查看这个mdb文件。
我们拿到了后台密码,现在去登陆试一试吧。
讲道理,看到这个的时候,我真想一走了之。
这里告诉我们唯一有用的信息就是他的内网地址了,但是我到不了内网啊。说到这里又是一把伤心泪。擦掉眼泪后,默默地合上了笔记本。
不知是什么又支撑着我打开了一个界面,他捆绑的是8090端口,本来想着继续代码审计找到密码,但是测试的时候又让我心凉了一截。
尝试任意输入一个文件名,没想到猜对了。讲道理看到这个的时候我高兴了一下下,阅读报错,我们可以知道说我们对象引用未设置为对象的实例,那咱们就给他赋值呗。
随着赋值的过程还能往下看几段代码。
。。。。。
不知道小伙伴注没注意上面那个箭头?这个端口的http服务器是安装在E盘的,所以咱们也不能通过代码审计了。当然,我也知道他可能存在SQL注入,但是不知道各位想没想到上面那个任意SQL执行的窗口,一想到他数据库那奇怪的命名方式,抱手告辞!(那个SQL里几十个数据库,没法一个一个找啊)。说完,我又默默的合上了笔记本。
后记
本次渗透讲解就到这里了,说真的我仍然认为这个站点的漏洞还有很大的挖掘空间,如果耐心细心的找找看其实还是很大的挖掘空间,但是我最近事情比较多,在家把所学的知识从头复习,说实话收获不小。可能大家觉得文章写的短了一些,确实如此。写文章的今天,在晚上还要去考一下360众测的入驻考核,所以时间仓促,写的也就比较赶吧,希望大家多多见谅!那么就先讲到这里了。
最后祝大家心想事成,美梦成真!