前段时间作为攻击方参加了一个比赛,简单的记录一下。没什么高端技术,都是别人玩剩下的,也没什么好的操作,只记录下思路。
参加完比赛的第一感觉就是很多公司企业政府机构事业单位根本不重视网络安全,尤其是弱口令太多了。
0x00
其中一个站是一个公司,首页看起来很高端,作为一个图片交流站,注册后上传只能上传图片而且图片上传后也会统一重命名处理,想通过上传马来拿这条路基本行不通。
正在找其他入口时,队友说发现了SVN泄露,拿到了部分的源码。通过分析源码找到了后台地址和数据库连接。连接上数据库后很容易就找到了管理员表。有一个坑是拿admin登录后台基本没什么权限,当时以为是一个假后台了。我感觉不太对劲,不管怎么找,这个是后台的可能性极高,查看数据库记录,发现admin用户上一次登录是很久以前了,这并不正常。联合其他表的数据,尤其是测试表,发现有一个奇怪的用户,各种表里都有他,ID也特别靠前,而且数据库里md5加密的密码也很容易就解密了,拿解密的密码尝试登录后台登录成功。
这次登录后台明显不同,应该是最高管理员,在这个后台里寻找入口,在一个编辑页面发现了任意文件上传,上传一句话拿到了服务器的权限。
服务器是一台Linux机器,但是开启了只允许密钥登录,不允许密码登录。即使用脏牛提权也登录不进去,被卡在了提权外面。通过reGeorg进入内网扫描主机,只发现了一台华为网关,弱口令和默认密码都没登陆进去,一直没有拿下内网。
这个站就到这里了,能力有限没有继续深入下去。不过最后发现这个站还有sql注入,可以直接通过数据库进去,算另一个入口,也算成绩。
0x01
另外一个公司是一个特别大的集团,一般来说业务越多,子站越多风险越大。
毕竟大公司,双倍奖励还是很吸引人的。找到很多他的子站,一言难尽,全是弱口令。
[0]
第一个是一个OA系统,有验证码,但是可以在传参时把这个参数删掉可以绕过,用Burpsuite跑瞬间出结果,admin的密码是1。对,就是1。虽然不是第一次见这么蠢的密码,但是还是无话可说。可惜的是这个OA系统是在第三方,没有那个公司的相关信息裁判不认。
[1]
第二个是一个控股公司的后台,是托管在第三方的虚拟主机,有验证码。当时为了方便测试,输入用户名admin密码123用Burpsuite抓包,放到repeater里想看看验证码机制和返回请求是怎么样的,结果返回了一个奇怪的跳转,而且非常像登录成功的跳转页。怀着激动又忐忑的心情尝试用123登录,进去了。
[2]
第三个是一个当地特别大的公司,应该也是他们集团的,最起码后台写着他们的名字。同样,拿admin去跑后台,他的登录页登录时就对密码进行md5处理了。这并不是什么问题,Burpsuite跑字典时也可以对字典数据处理后再跑。也用弱口令跑出来了,虽然不是常见的弱口令,但是能用字典跑出来的就是弱口令。
这个后台权限限制很严格,即使是admin也不是所有的页面都能访问。寻找上传点准备上传一句话,在一个功能里可能有上传点,但是admin不能访问。寻找系统的用户时找到了一个办公室的人,他的权限是目前系统里权限最大的几个账号之一了。admin没有读取和直接修改他们密码的权限,但是可以重置为初始默认密码。一般来说,这种默认的密码都是弱口令,试了一下,123456进去了。在刚刚怀疑的上传点果然成功找到了有一个任意文件上传,上传一句话后成功解析。
不得不说,360还是强。服务器上有360,我们执行的提权命令全被拦截了。虽然拿到了数据库,也开了xp_cmdshell,命令也成功执行了,但都被拦截了。尝试上传Mimikatz读密码也失败了。提权失败,那就进内网看看吧。
在内网里发现了很多主机,尝试看了一下,很多主机都对外提供访问,看来这是一个为很多当地企业提供服务的机房。但是可惜的是,时间比较紧,这个公司是最后一天下午搞的,就搞了2个小时左右,提供访问的基本都有360之类的东西,一台主机都没拿下,如果时间足够可以拿ms17-010之类的尝试一下,但是最后没什么时间了。
这次比赛虽然感觉没学到什么东西,基本上还是自己会的那点东西。但是暴露了我的不足,内网的横向渗透和提权经验不足。以后有机会还是多学习一下这方面的知识。