前言
这是本系列第二篇文章,仍然是某省HVV中的红队阅历,这次的目的是某著名饮料企业。
上一篇写的有点水,更像是成果展现了,我这次着重写外网打点的整个思绪流程。PS:关于上一篇,曾经略微补充了一些,但可能还是不够饱满,主要缘由是浸透过程的确简单,另一个缘由是当时进入内网过程比拟敏感,不太便当多说(还想毕业)。
这次的整个流程大约是:信息搜集->SSO弱口令->源码泄露->SQL注入->密码复用->VPN进入内网,都是很根底的操作,组合拳打起来进的内网。
转载请注明出处,谢谢。
1.信息搜集+SSO弱口令
首先子域名爆破,找到一个sso.example.com.cn(以下都用example替代),网站的title是“xxx集团单点登录系统”,登录不需求考证码,直接丢进burp开端爆破。我的习气是先[常见用户名+常见密码]爆一下,不行的话再[常见人名+123456等密码爆一下],真实不行再思索[常见人名+常见密码]。
很侥幸,只用123456我们就得到了几十个能登录的用户名,比方litao、wangwei、zhangkai、liupeng等。
此外我们经过子域名爆破还找到了多个运用单点登录系统的网站,如网络学院、培训系统、桶装水、运输系统、销售系统等。
首先看了下上述网站有没有破绽能够传马,网络学院能够上传用户的照片,但是会强迫转换成png类型;桶装水、运输系统等都是用flash写的,看起来相当长远了,先疏忽。
唯独培训系统,登进去空白一篇,只要几个侧边栏按钮能够点击。当时也觉得是个废弃的系统,也先不论。
2.人事APP
从子域名爆破的信息里找到了app.example.com.cn,在虚拟机装置其安卓版本的app之后,发现也能够用单点登录系统来登录。
登录后能够查看本人的身份信息、工资信息等,最有趣的是一个公司的通讯录,写着工号、部门、职位等。
抓了下app的包,触及的接口及扫到的其他接口都没有破绽,先放置。
3.源码泄露
别的路子没打通,又回来看1中提到的培训系统。右键查看源码,去github搜了下,找到了当时开发的源代码,同时还有一些内网的地址和效劳配置密码等,简单审计发现这个系统是需求一定权限才干显现更多信息。
接着从2中招可能具有权限的用户(且弱口令)来登录,最后找到一个某部门的主管登录后能够显现培训系统的内容。
4.SQL注入
从3登录的系统,简单测了下某几个接口,发现某个培训数据挑选的接口存在SQL注入。
直接丢进sqlmap一把梭。发现有这三个库:
[*] information_schema
[*] pg_catalog
[*] public
select version(): 'PostgreSQL 11.3 on x86_64-pc-linux-gnu, compiled by gcc (GCC) 4.8.5 20150623 (Red Hat 4.8.5-36), 64-bit'
感谢您的来访,获取更多精彩文章请收藏本站。
1 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
3 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
- 最新
- 最热
只看作者