攻防之战：深度回顾地级市某行业专项演练

2022.8.X单位突然通知参与某行业专项攻防演练，本着学习的目的参与了一波，特此记录。

1、打点

获得目标单位名称

先通过爱企查、天眼查等工具查询目标及目标下属单位信息

可以利用工具：ENEScan_GO

接着就是信息收集三板斧

子域名、IP、端口

收集子域名：OneForAll（API要配置全一点）、Subfinder、FOFA、Hunter

收集IP：Eeyes、domain2ip

端口扫描：Goby、Nmap、Masscan

这里使用的是Goby全端口扫描，扫描速度堪忧，但优点是比较全面且展示效果较好。

端口扫描后筛出Web类与非Web类端口，便于精确打击。

Web类可以先统一进行指纹识别，优先攻击一些重点的框架系统 比如（Shiro、通达OA、用友NC等）

非web类可以筛出来进行服务爆破，一些特殊的端口可以优先摸一下试试，比如6379 Redis

2、获取突破口

一番操作之后，通过以上打点，得到了一个Shiro框架的系统，这个系统是访问路径后默认跳转到SSO平台进行登录的。想进入该系统，入口必须是走SSO平台登录验证后进入。但是经过手工口令测试，发现通过弱口令进SSO系统有点困难，战略性放弃。

先利用Shiro反序列化工具查看是否存在RCE漏洞。

这边给个建议，不同工具可能不一定能抛出Key和利用链，大家在进行测试的时候，手里尽量多换几个工具来测试，我这里换了三个工具才跑出Key和利用链，其他的工具就是跑不出

接着开始翻配置文件

在/webapps/xxx/WEB-INF/classes/下

发现一个dbconfig.properties文件，发现了MySQL与Redis的连接信息。（要打码的东西较多，我就不放了）

MySQL是阿里云的，不是内网本地的，看了一下，发现原来打的这台机子是云主机。

白高兴一场，想着下一步就连一下MysQL看看能不能登陆SSO 以及接着翻翻看看有什么文件还有泄露配置信息然后就收工了。

mysql连接后，看到了SSO的库，以及其他3个系统的库，但当务之急是先看看能否登录SSO，

查看SSO表中的sso_pwd字段