攻防演练复现记录

之前参加的攻防演练的比赛,复现一下顺便记录一下学习过程。

门户网站getshell

  • 0x01 攻防演练复现记录
    门户网站IP端口有安全策略,nmap扫描结果无效,测试22端口开放,数据库是mysql,在对安全机制测试中,burp爆破线程3以内不会被BAN IP,扫了目录,用的tomcat,尝试tomcat后台弱口令未成功。robots有网站备份文件路径,访问不能下载。

    网站前台开放注册,注册用户并寻找上传点,burp抓包登录回显remember me,尝试shiro反序列化。

    攻防演练复现记录攻防演练复现记录

    继续看前台登录,在邮件发布发现编辑器并且可以上传。
    攻防演练复现记录

    测试上传jpg文件成功,上传功能正常,burp抓包修改后缀为jsp,上传成功,返回了文件路径。

    攻防演练复现记录
    修改上传内容测试哥斯拉jsp马上传,被waf拦截,burp未响应。

    攻防演练复现记录

    用免杀马再次上传成功,但访问马路径却提示403,百度后了解该cms有安全机制,该目录下jsp文件访问受限,无法正常解析使用。

    攻防演练复现记录

    百度查询该款cms爆出的漏洞,有rce和文件包含,但均未公布poc和exp,cms官网有测试站点并且提供源码下载,查询后了解后台可以上传zip文件并解压getshell,目前思路有两个,一个是审计找出文件包含,将前台上传的jsp文件包含getshell,另一个就是爆破后台账号getshell,由于能力有限,放弃代码审计。尝试爆破次数受限,未能成功进入后台。

    • 0x02 SQL注入

    门户站无果,尝试另一资产银行系统,该系统界面为登录界面,burp抓包尝试sql注入,后在管理员账号字段发现存在sql注入,报错信息有管理表名,且使用Hibernate框架。

    攻防演练复现记录

    Hibernate框架sql注入可以使用hqlmap工具直接跑,使用该工具检测出存在sql注入。

    攻防演练复现记录
    根据burp报错信息中的表名,注入列名时发现报错,由于工具小众,google后别人使用有同样问题,工具逻辑设计有问题,详细说明见https://www.bountysource.com/teams/hqlmap/issues?tracker_ids=728071。尝试手注,猜测用户名字段username,使用payloadtest' or ascii(substr((select username from xxxx where id=1),1,1))>1 or '1'='1,发送后未回显,猜测waf拦截,使用burp插件chunked编码绕过,测试成功。

    攻防演练复现记录

    直接扔burp intruder跑一下username的ascii码,password同理。

    攻防演练复现记录

    拿到了账号密码登录进去,发现一处任意文件下载,读取配置文件后得到了数据库连接信息。

    攻防演练复现记录使用navicat尝试连接,可以直接外连,连接后得到了门户网站管理账号以及另一考试系统的管理账号。使用该账号密码登录门户后台。

    攻防演练复现记录
    在后台上传压缩后的zip文件解压后成功getshell,且为root权限。

    攻防演练复现记录

    内网探测

    上传代理neo-regeorg将流量带出,使用kali里的proxychain启动metasploit尝试内网资产探测。
    攻防演练复现记录对开启服务的资产进行弱口令爆破,使用之前mysql数据库密码尝试对开放3306的主机批量爆破。

    攻防演练复现记录读取/etc/passwd和/etc/shadow,跑字典后尝试对ssh和smb爆破。

    在资产中发现考试系统,使用数据库内容解密后成功登录考试系统。

    攻防演练复现记录

版权声明:玥玥 发表于 2021-03-17 2:36:45。
转载请注明:攻防演练复现记录 | 女黑客导航