外网打点
信息搜集
Fscan扫描一下
![图片[1]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314134727220-image.png)
漏洞探测
访问网站,弱口令直接登进行了,但是没啥东西
![图片[2]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314134743276-image.png)
搞搞Shiro漏洞,尝试工具一把梭,寻找下密钥
![图片[3]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135208662-image.png)
![图片[4]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135220490-image.png)
然后同时想起之前的actuator泄露,找了找RCE相关的,像env,refresh,gateway这些接口都没有,然后就到了我们的信息泄露环节了。
之前实战渗透的时候通杀过heapdump泄露,所以记忆犹新,这里用的是heapdump_tool.jar工具
搜了搜关键词passowrd,shiro,key这些,没有数据库账密也没有泄露Key,任何发现都没有
想着会不会是工具的问题,于是换了一个工具,改用JdumpSpirder,https://github.com/whwlsfb/JDumpSpider/releases
再次寻找成功发现ShiroKey
得到密钥GAYysgMQhG7/CziJlVpR2g==
漏洞利用
接下来使用工具指定密钥梭哈一下。
![图片[5]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135331311-image.png)
接下来尝试写入内存马
![图片[6]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135348365-image.png)
![图片[7]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135359808-image.png)
有一些不方便,用冰蝎的反弹shell功能弹到vps上
提权
![图片[8]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135423820-image.png)
发现vim,直接猜测一手flag位置vim /root/flag/flag01.txt
![图片[9]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135442735-image.png)
内网探测
上线VIPER
![图片[10]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135504363-image.png)
信息搜集
上传Fscan进行内网网段扫描meterpreter > shell –c ‘./fscan –h 172.30.12.5/24‘
___ _
/ _ \ ___ ___ _ __ __ _ ___|| __
//_\/____/ __|/ __| ‘__/ _` |/ __||//
//_\\_____\__ \ (__|||(_||(__|<
\____/|___/\___|_| \__,_|\___|_|\_\
fscan version:1.8.3
start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.30.12.6 is alive
(icmp) Target 172.30.12.5 is alive
(icmp) Target 172.30.12.236 is alive
[*] Icmp alive hosts len is:3
172.30.12.236:22 open
172.30.12.5:22 open
172.30.12.236:8080 open
172.30.12.5:8080 open
172.30.12.6:445 open
172.30.12.6:139 open
172.30.12.6:135 open
172.30.12.6:8848 open
172.30.12.236:8009 open
[*] alive ports len is:9
start vulscan
[*] NetBios 172.30.12.6 WORKGROUP\SERVER02
[*] NetInfo
[*]172.30.12.6
[->]Server02
[->]172.30.12.6
[*] WebTitle http://172.30.12.5:8080 code:302 len:0 title:None 跳转url: http://172.30.12.5:8080/login;jsessionid=A60E466BB515111EA9813AD488333B5B
[*] WebTitle http://172.30.12.5:8080/login;jsessionid=A60E466BB515111EA9813AD488333B5B code:200 len:2005 title:医疗管理后台
[*] WebTitle http://172.30.12.6:8848 code:404 len:431 title:HTTP Status 404 – Not Found
[*] WebTitle http://172.30.12.236:8080 code:200 len:3964 title:医院后台管理平台
[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos
[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos-v1-auth-bypass
[+] PocScan http://172.30.12.5:8080 poc-yaml-spring-actuator-heapdump-file
代理搭建
VPS端
攻击域用户一(nacos Yaml反序列化)
信息泄露
在Fscan扫描结果中发现[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos
[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos-v1-auth-bypass
所以尝试一下用户登录绕过漏洞
进行登录
![图片[11]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135555412-image.png)
成功登录
![图片[12]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135612679-image.png)
不过这些不足以实现RCE,后端也没什么东西,搜索相关漏洞发现两个,一个是内存马注入,一个是Yaml反序列化。
尝试内存马
尝试用工具写入内存马
![图片[13]-“深入分析:利用春秋云镜进行医院内网渗透的优化策略”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240314135633250-image.png)
![表情[qiudale]-山海云端论坛](https://www.shserve.cn/wp-content/themes/Shanhai/img/smilies/qiudale.gif)
我也是买了领不了、
暂无评论内容