外网打点
信息搜集
Fscan扫描一下
漏洞探测
访问网站,弱口令直接登进行了,但是没啥东西
搞搞Shiro漏洞,尝试工具一把梭,寻找下密钥
然后同时想起之前的actuator
泄露,找了找RCE相关的,像env,refresh,gateway
这些接口都没有,然后就到了我们的信息泄露环节了。
之前实战渗透的时候通杀过heapdump
泄露,所以记忆犹新,这里用的是heapdump_tool.jar
工具
搜了搜关键词passowrd
,shiro
,key
这些,没有数据库账密也没有泄露Key,任何发现都没有
想着会不会是工具的问题,于是换了一个工具,改用JdumpSpirder
,https://github.com/whwlsfb/JDumpSpider/releases
再次寻找成功发现ShiroKey
得到密钥GAYysgMQhG7/CziJlVpR2g==
漏洞利用
接下来使用工具指定密钥梭哈一下。
接下来尝试写入内存马
有一些不方便,用冰蝎的反弹shell功能弹到vps上
提权
发现vim
,直接猜测一手flag位置vim /root/flag/flag01.txt
内网探测
上线VIPER
信息搜集
上传Fscan进行内网网段扫描meterpreter > shell –c ‘./fscan –h 172.30.12.5/24‘
___ _
/ _ \ ___ ___ _ __ __ _ ___|| __
//_\/____/ __|/ __| ‘__/ _` |/ __||//
//_\\_____\__ \ (__|||(_||(__|<
\____/|___/\___|_| \__,_|\___|_|\_\
fscan version:1.8.3
start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.30.12.6 is alive
(icmp) Target 172.30.12.5 is alive
(icmp) Target 172.30.12.236 is alive
[*] Icmp alive hosts len is:3
172.30.12.236:22 open
172.30.12.5:22 open
172.30.12.236:8080 open
172.30.12.5:8080 open
172.30.12.6:445 open
172.30.12.6:139 open
172.30.12.6:135 open
172.30.12.6:8848 open
172.30.12.236:8009 open
[*] alive ports len is:9
start vulscan
[*] NetBios 172.30.12.6 WORKGROUP\SERVER02
[*] NetInfo
[*]172.30.12.6
[->]Server02
[->]172.30.12.6
[*] WebTitle http://172.30.12.5:8080 code:302 len:0 title:None 跳转url: http://172.30.12.5:8080/login;jsessionid=A60E466BB515111EA9813AD488333B5B
[*] WebTitle http://172.30.12.5:8080/login;jsessionid=A60E466BB515111EA9813AD488333B5B code:200 len:2005 title:医疗管理后台
[*] WebTitle http://172.30.12.6:8848 code:404 len:431 title:HTTP Status 404 – Not Found
[*] WebTitle http://172.30.12.236:8080 code:200 len:3964 title:医院后台管理平台
[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos
[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos-v1-auth-bypass
[+] PocScan http://172.30.12.5:8080 poc-yaml-spring-actuator-heapdump-file
代理搭建
VPS端
攻击域用户一(nacos Yaml反序列化)
信息泄露
在Fscan扫描结果中发现[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos
[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos-v1-auth-bypass
所以尝试一下用户登录绕过漏洞
进行登录
成功登录
不过这些不足以实现RCE,后端也没什么东西,搜索相关漏洞发现两个,一个是内存马注入,一个是Yaml反序列化。
尝试内存马
尝试用工具写入内存马
暂无评论内容