目標:某大型國企;

要求:提供資產表,只可以攻擊表中資產,關鍵系統不得攻擊;

手段:不允許社工釣魚;

這是這次要分享的案例實施時客戶提的要求,那么前期的資產收集工作也就可以適當的減少,只去關注資產表中的系統即可

對表中資產進行探測,這里推薦 Ehole ,會對其中的重點資產進行標注

柿子撿軟的捏,先搞s hiro (雖然不抱啥希望)

好吧,有鑰無鏈,這種好事終究是輪不到我頭上,隨后再對列表中的用友和致遠進行嘗試,均沒有歷史漏洞可以進行R CE ,同時發現關鍵系統都有安全設備的攔截。

軟柿子沒得捏,那就老老實實做測試吧,接下來就看到了這些畫面

但是,一輪過去卻沒有一個系統猜出賬戶,所以準備另辟蹊徑,看看同I P 的旁站,對I P 段進行端口掃描,發現一個會議管理系統

該系統在登陸界面出現了管理員的姓名及工號,隨手一試工號+1 23456 ,啪的一下!就突然打開了新世界的大門

嘿!報備后修改密碼為復雜密碼成功登錄,但是很可惜,系統只有預約會議的功能,無法進行其他深入利用

雖然會議系統無法深入,但是這個賬號密碼卻是可以進行利用。首先,知道了目標單位工號規則為六位數,同時此人作為該系統的管理員,未修改該系統的密碼,猜測其他系統極有可能也是弱口令,可利用該工號及密碼在其他系統進行撞庫

通過對其他系統的撞庫,在一處管控平臺利用該工號+123456成功登錄

看著這個名字挺熟悉,回到會議系統查看,發現該系統可能為正在開發的測試系統,在會議安排中還有著該系統的開發計劃

雖然系統可能還在開發階段,但是里面卻是干貨滿滿,通過該系統獲取到了集團所有員工對應的工號、姓名及手機號共計數千條

再看一眼這個系統的管理員賬號,只有這1 4 個賬號可以進行登錄,真是走了狗屎運了,還就在幾千工號里碰上了這個弱口令,不然去跑字典,估計跑到1 000 我就 C tr l+C 了

隨后,在這個系統經過測試,發現系統上傳功能白名單限制,無法繞過,但是有著全員的信息,那么對其它系統下手就容易多了。

小兄弟拿著所有人的信息去各個系統進行弱口令爆破,那可真是碩果累累啊

接下來便是平平無奇的收網環節,在一處弱口令登錄的crm系統中翻來翻去,找到一處編輯器任意文件上傳

這處任意文件上傳的發現也挺坎坷,在系統中發現,它所使用的所有接口都是白名單,包括業務功能中的附件上傳、個人的頭像上傳都是使用統一接口

但是通過點點點,發現在個人主頁處存在一個論壇功能,使用的編輯器存在任意文件上傳

上傳jsp代碼可成功解析

隨后便是快樂的內網橫向環節嘍

總結

這次的攻防演練過程中,技術方面并沒有特別出彩的地方,但每個成果和鏈路的發現過程都離不開測試及信息收集中對小細節的細心

滲透測試
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接