攻防演练复现记录

攻防演练复现记录

    • 门户网站getshell
    • 0x01 信息收集
    • 0x02 SQL注入
    • 内网探测

之前参加的攻防演练的比赛,复现一下顺便记录一下学习过程。

门户网站getshell

  • 0x01 信息收集

打开门户网站,网站下面版权标记某款cms以及版本号,网站后台也在最下方链接,点击进入后台,后台没有验证码,但多次登录失败会触发验证码机制。

攻防演练复现记录_第1张图片
门户网站IP端口有安全策略,nmap扫描结果无效,测试22端口开放,数据库是mysql,在对安全机制测试中,burp爆破线程3以内不会被BAN IP,扫了目录,用的tomcat,尝试tomcat后台弱口令未成功。robots有网站备份文件路径,访问不能下载。

网站前台开放注册,注册用户并寻找上传点,burp抓包登录回显remember me,尝试shiro反序列化。

攻防演练复现记录_第2张图片

攻防演练复现记录_第3张图片

继续看前台登录,在邮件发布发现编辑器并且可以上传。
攻防演练复现记录_第4张图片

测试上传jpg文件成功,上传功能正常,burp抓包修改后缀为jsp,上传成功,返回了文件路径。

攻防演练复现记录_第5张图片
修改上传内容测试哥斯拉jsp马上传,被waf拦截,burp未响应。

攻防演练复现记录_第6张图片

用免杀马再次上传成功,但访问马路径却提示403,百度后了解该cms有安全机制,该目录下jsp文件访问受限,无法正常解析使用。

攻防演练复现记录_第7张图片

百度查询该款cms爆出的漏洞,有rce和文件包含,但均未公布poc和exp,cms官网有测试站点并且提供源码下载,查询后了解后台可以上传zip文件并解压getshell,目前思路有两个,一个是审计找出文件包含,将前台上传的jsp文件包含getshell,另一个就是爆破后台账号getshell,由于能力有限,放弃代码审计。尝试爆破次数受限,未能成功进入后台。

  • 0x02 SQL注入

门户站无果,尝试另一资产银行系统,该系统界面为登录界面,burp抓包尝试sql注入,后在管理员账号字段发现存在sql注入,报错信息有管理表名,且使用Hibernate框架。

攻防演练复现记录_第8张图片

Hibernate框架sql注入可以使用hqlmap工具直接跑,使用该工具检测出存在sql注入。

在这里插入图片描述
根据burp报错信息中的表名,注入列名时发现报错,由于工具小众,google后别人使用有同样问题,工具逻辑设计有问题,详细说明见https://www.bountysource.com/teams/hqlmap/issues?tracker_ids=728071。尝试手注,猜测用户名字段username,使用payloadtest' or ascii(substr((select username from xxxx where id=1),1,1))>1 or '1'='1,发送后未回显,猜测waf拦截,使用burp插件chunked编码绕过,测试成功。

攻防演练复现记录_第9张图片

直接扔burp intruder跑一下username的ascii码,password同理。

攻防演练复现记录_第10张图片

拿到了账号密码登录进去,发现一处任意文件下载,读取配置文件后得到了数据库连接信息。

攻防演练复现记录_第11张图片使用navicat尝试连接,可以直接外连,连接后得到了门户网站管理账号以及另一考试系统的管理账号。使用该账号密码登录门户后台。

攻防演练复现记录_第12张图片
在后台上传压缩后的zip文件解压后成功getshell,且为root权限。

攻防演练复现记录_第13张图片

内网探测

上传代理neo-regeorg将流量带出,使用kali里的proxychain启动metasploit尝试内网资产探测。
攻防演练复现记录_第14张图片对开启服务的资产进行弱口令爆破,使用之前mysql数据库密码尝试对开放3306的主机批量爆破。

攻防演练复现记录_第15张图片读取/etc/passwd和/etc/shadow,跑字典后尝试对ssh和smb爆破。

在资产中发现考试系统,使用数据库内容解密后成功登录考试系统。

攻防演练复现记录_第16张图片

你可能感兴趣的:(安全)