記一次旁站滲透過程

之所以講旁站滲透，是因為現在主站基本上防護的都比較到位，在主站發現不了什么問題，因此只能從旁站、子站、C段找脆弱資產，并對其進行掃描。

話不多說，立刻動手。

1 過程

首先是弱口令掃描。

從弱口令top500，到top5000、top50000，我們可以逐級進行嘗試。當然，如果不惜時間成本，我們可以一直進行枚舉。事實上，弱口令現在仍然是網站管理的重大安全隱患之一。

順便提一下2020年最常用密碼的top10：

簡單說一下安全密碼規范。所謂安全密碼并不是無法破解，而是需要更長的時間才能通過暴力枚舉的方式破解。大部分安全密碼都要包括數字、大小寫字母和特殊字符，并且無順序排列。

轉過頭來，發現經過了長時間暴力枚舉依然一無所獲。

主站沒有收獲，于是開始測試旁站。直接對旁站手動測試，發現了信息交互處的注入點，但是存在waf：

手動繞開waf，使用http協議繞過方法，首先將請求方式變為post并抓包，修改數據包為分段傳輸格式。

要注意這里Transfer-Encoding的值設為x chunked而不是chunked。

構造sql語句，判斷字段數：

分割union select查詢出數據庫：

成功爆出表名：

http協議繞過分為：Content-Type繞過、HTTP請求方式繞過、參數污染繞過、解析特性繞過等。

分別做一下介紹。

Content-Type繞過：

有的waf識別到Content-Type類型multipart/form-data后，會將它認為是文件上傳請求，從而不檢測其他種類攻擊只檢測文件上傳，導致被繞過。

“application/x-www-form-urlencodedè multipart/form-data”

HTTP請求方式繞過：

waf在對危險字符進行檢測的時候，分別為post請求和get請求設定了不同的匹配規則，請求被攔截，變換請求方式有幾率能繞過檢測。

另外，云鎖/安全狗安裝后默認狀態對post請求檢測力度較小，可通過變換請求方式繞過。

參數污染繞過：

由于http協議允許同名參數的存在，同時waf的處理機制對同名參數的處理方式不同，造成“參數污染”。不同的服務器搭配會對傳遞的參數解析出不同的值。配合waf與中間件對參數解析位置不同，可能繞過waf。

提交的參數為：

?id=1&id=2&id=exp
 asp.net+iis:id=1,2,exp
 asp+iis:id=1,2,exp
 php+apache:id=exp

解析特性繞過：

利用了waf與后端服務器的解析不一致的原理。

Iis5.0-6.0解析漏洞：

“.asp --> /xx.asp/xx.jpg//.asp，.asa目錄下的文件都解析成asp文件

.asp --> xx.asp;.jpg//服務器默認不解析;號后面的內容”

Iis7.5解析漏洞(php.ini開啟fix_pathinfo)：

“.php --> /xx.jpg //上傳.jpg一句話，訪問時后面加上/xx.php”

apache解析漏洞：

“.php --> /test.php.php123//從右往左，能別的后綴開始解析”

nginx解析漏洞(php.ini開啟fix_pathinfo)：

“.php --> xxx.jpg%00.php//Nginx <8.03 空字節代碼執行漏洞”

之后又找到了一個Citrix XenMobile系統，Citrix XenMobile用于管理員工的移動設備和移動應用程序，通常由Active Directory集成，它部署在網絡外圍并可以訪問內部網絡。

這個系統在2020年爆出過CVE-2020-8209（任意文件下載），RP2之前的Citrix XenMobile Server 10.12，RP4之前的Citrix XenMobile Server 10.11，RP6之前的Citrix XenMobile Server 10.10和Citrix XenMobile Server 10.9 RP5之前的訪問控制不當，導致任意文件下載漏洞。

這個的利用方式比較簡單直接：

“url+/jsp/help-sb-download.jsp?sbFileName=../../../etc/passwd”

這個漏洞的成因主要是出現在文件help-sb-download.jsp：

這里的sbFileName通過字符串連接“/opt/sas/support”，之后字符串作為參數提供給File構造函數，因此我們可以構造任意函數進行任意文件下載。

接下來我們又找到個Apache Flink系統，這個是一個開源流處理框架，打開后直接就是一個未授權漏洞，

Apache Flink有個CVE-2020-17519漏洞。exp：

jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd

Python腳本如下：

然后在submit new job處還可以上傳一個jar，這一個地方找到三個洞：

接下來又找到了個F5的漏洞，這個漏洞直接用exp打就好：

接下來是VMware vCenter任意文件讀取漏洞，這個漏洞最初是在twitter爆出來的，在這就直接使用exp即可：

#windows/eam/vib?id=C:\ProgramData\VMware\vCenterServer\cfg\vmware-vpx\vcdb.properties
#linux/eam/vib?id=/etc/passwd

Web端暫時找到這些，接下來再看看微信公眾號。現在很多企業都有自己的微信公眾號，因此，公眾號也是滲透的突破口。

在這里直接對接口進行了一次掃描，沒想到還真是找到了一個sql延時注入和一個xss：

2 總結

滲透網站思路要靈活。主站防護性太高，就滲透旁站或其他資產，這也體現了信息搜集的重要性。在滲透的過程中要了解網站的脆弱性，確定突破口，利用好手里的exp，漏洞自然而然的就展現出來了。