2022.8.X单位突然通知参与某行业专项攻防演练,本着学习的目的参与了一波,特此记录。
1、打点
获得目标单位名称
先通过爱企查、天眼查等工具查询目标及目标下属单位信息
可以利用工具:ENEScan_GO
接着就是信息收集三板斧
子域名、IP、端口
收集子域名:OneForAll(API要配置全一点)、Subfinder、FOFA、Hunter
收集IP:Eeyes、domain2ip
端口扫描:Goby、Nmap、Masscan
这里使用的是Goby全端口扫描,扫描速度堪忧,但优点是比较全面且展示效果较好。
端口扫描后筛出Web类与非Web类端口,便于精确打击。
Web类可以先统一进行指纹识别,优先攻击一些重点的框架系统 比如(Shiro、通达OA、用友NC等)
非web类可以筛出来进行服务爆破,一些特殊的端口可以优先摸一下试试,比如6379 Redis
2、获取突破口
一番操作之后,通过以上打点,得到了一个Shiro框架的系统,这个系统是访问路径后默认跳转到SSO平台进行登录的。想进入该系统,入口必须是走SSO平台登录验证后进入。但是经过手工口令测试,发现通过弱口令进SSO系统有点困难,战略性放弃。
先利用Shiro反序列化工具查看是否存在RCE漏洞。
这边给个建议,不同工具可能不一定能抛出Key和利用链,大家在进行测试的时候,手里尽量多换几个工具来测试,我这里换了三个工具才跑出Key和利用链,其他的工具就是跑不出
接着开始翻配置文件
在/webapps/xxx/WEB-INF/classes/下
发现一个dbconfig.properties文件,发现了MySQL与Redis的连接信息。(要打码的东西较多,我就不放了)
MySQL是阿里云的,不是内网本地的,看了一下,发现原来打的这台机子是云主机。
白高兴一场,想着下一步就连一下MysQL看看能不能登陆SSO 以及接着翻翻看看有什么文件还有泄露配置信息然后就收工了。
mysql连接后,看到了SSO的库,以及其他3个系统的库,但当务之急是先看看能否登录SSO,
查看SSO表中的sso_pwd字段
暂无评论内容