目标国外站http://xxx.xx.com/

云悉指纹
Web指纹 PHP/5.3.3,CentOS,Apache/2.2.15
语言 PHP/5.3.3
数据库 无
Web容器 Apache/2.2.15
服务器 无
全球排名 无
操作系统 CentOs

ip:175.117.xxx.xxx 无cdn无waf

概览全局

访问直接跳转到http://xxx.xx.com/member/login.php

1.png

手动测试万能密码,尝试无果。

查看源代码寻找敏感路径或敏感api

2.png

发现敏感路径

访问仍然跳转到登陆界面,放弃。

目录有迹可循,没有加特殊前缀后缀,掏出御剑

3.png

http://xxx.com/admin

4.png

简陋后台,尝试万能密码,无果。

查看源代码,无果。(有些账号密码会写在源代码中!)

http://xxx.com/member

5.png

发现目录遍历,大部分都被重定向到登陆页面。看下御剑扫出的另外几个

xxx.com/temp/

6.png

被扫描器扫描之后创建了很多文件夹,并且时间都是最近的。很有可能后台编辑器不登陆就能用。

三个目录遍历点,我们需要耐心找下可以利用的文件或者目录。注意留意upload字样的文件夹,因为很有可能会有前人的脚印。这里说一点就是如果你找到前人的马但是不知道密码,你可以尝试下载同名的图片用记事本打开。

测试之后总结下可能被利用的点

http://xxx.xxx/data/imagesfile/upload/文件上传的目录

http://xxx.xxx/data/log/error_201511.logMySQL错误日志爆出绝对路径

http://xxx.xxx/member/check_userid.php

http://xxx/member/message.php

7.png

唯一没打码的黄字导航存在注入,post搜索框存在注入,无任何过滤

http://xxx/board/?bid=1

到这里我想的是root权限+绝对路径写shell,美滋滋?

然后sqlmap报了这个,非root,非dba,服了

8.png

那只能跑后台管理员账号密码了。。然后没找到管理员表。。。国外站就是太卡,让他先跑着,回头继续看目录遍历,我们现在的目的要转向上传点上。

然后我在目录遍历之中没找到上传点,服了。

峰回路转

在之前的注入点之中,

9.png

我忽略了一个细节,而这个细节是谷歌翻译帮助我发现的- -

10.png

这个注入点是查看帖子,那么与之相对应的右下角既是发布/创建帖子。

上传点

11.png

12.png

上传点可用

13.png

尝试getshell apache+php5.3 图片白名单 上传重命名 尝试解析漏洞和截断,无果。

发现编辑器还有一个上传点

14.png

15.png

抓包

16.png

未重命名!

17.png

apache解析漏洞getshell

18.png

访问404???

发现不存在_thumb这个目录,不知道怎么回事。

借助之前的目录遍历找到shell

19.png

蚁剑

20.png

权限是apache

21.png

脏牛获取root,懒得截图了。

写在文后

总结:扫描=》发现目录遍历=》发现注入点=》发现编辑器=》解析漏洞=》getshell=》回马枪目录遍历找到shell=》脏牛

这篇文章花了半个小时去复现截图写稿,但是渗透的整个过程花掉了我两天时间,期间拐过各种坑,总而言之就是自己的经验不足,不够细心,谷歌翻译这个我是真的无语。实战是最好的老师。

最近两个月学着去挖洞,混了快2个月的补天。还是有挺多收获的。这里记录一个昨天对某人才网的渗透测试。从逻辑越权,xss,弱口令等到getshell,控制数据库.....

新人第一次写稿,有不足的地方恳请师傅们指出
目标站点我就以www.xxx.com代替

1. 逻辑越权

这个人才网有个人用户和企业用户,企业用户注册需要提供营业执照等等。然后只有企业用户才能下载人才简历,查看各个求职者的详细信息,比如身份证号码,联系方式等等。
我们先注册一个个人用户,然后登陆
我们可以看到下面有个"最新人才"的栏目

1.png

点更多,我们可以看到有大约有3w多简历

2.png

我们先随便点一个人的简历

3.png

可以看到当我们是个人用户时已经可以看见这个求职者的很多信息了,但是身份证信息和联系方式作为个人用户是看不见的

4.png

然后我们尝试点一下下载简历

5.png

果然只有企业用户才能下载。
这时候我想起了在各大平台看见的逻辑漏洞的总结,于是尝试用burp抓包来看看有没有可能越权成为企业用户
我们对下载简历抓包

6.png

我们可以看到那个eid是我们查看的这个简历的id。然后在cookie里,有个usertype和uid,个人用户的usertype是1,于是我们尝试改成2。然后这里必须uid也得改成随便一个企业的uid,因为这里usertype是判断用户账号是个人用户还是企业用户,然后这个uid是判断有没有下载权限。
我们在首页随便找一个企业

7.png

然后发包

8.png

然后这里就已经越权成为企业用户了,可以查看到用户联系方式了。
然后我们再对这个图上那个下载简历抓包,同样修改usertype和uid,然后再发包

9.png

然后到这里,不要以为失败了。
我们还是得对这个页面抓包,继续改usertype和uid。然后再次发包就可以下载了

10.png

word文档的简历内容很长,就截了前面部分。可以看到这里就可以看见完整的身份证号码信息。
(Ps:这里在改完uid后,提示说金币不够什么的,就换一个企业的uid试试就好了,因为这里下载简历是要消耗那个企业的金币的,没有金币就得充钱)

2.XSS

我们个人用户登陆后会让我们完善简历。在简历填写的多处存在储存型XSS
这里拿自我评价处做例子(毕竟企业看人才简历时可以看到自我评价)

11.png

12.png

这里我们可以利用xss来获取那些企业用户的cookie,且看cookie,并没有httponly的设置,所以可以直接登陆任意查看过这个简历的企业用户。

https://github.com/aleenzz/Cobalt_Strike_wiki

目录

第一章 CS基础

第一节[环境搭建与基本功能]
第二节[Listeners,Beacon与payload的初使用]
第三节[SMB Beacon]
第四节[DNS Beacon]
第五节[钓鱼 HTML Application]
第六节[钓鱼 MSF联动钓鱼]
第七节[钓鱼 鱼叉邮件]
第八节[钓鱼 Office]
第九节[Beacon 键盘记录,屏幕截图]
第十节[Beacon socks代理,vpn,与端口]
第十一节[Beacon 浏览器劫持与端口扫描]
第十二节[Beacon 提权与powershell]
第十三节[Beacon hash导出]
第十四节[Beacon SSH]
第十五节[横向渗透]
第十六节[MSF与CS会话互转]
第十七节[权限维持]

第二章 免杀

2-第一节[利用框架免杀]
2-第二节[C shellcode 加载]
2-第三节[利用脚本加载shellcode]
2-第四节[c# shellcode简单加密免杀]
2-第五节[python shellcode 加载]
2.第六节[powershell混淆]

第三章 脚本

3-第一节[Malleable C2 配置简介与使用]
3-第二节[Malleable C2 语法解析与文档]
3-第三节[Malleable C2 简单脚本编写]
3-第四节[AggressorScripts使用]
3-第五节[AggressorScripts编写文档简介]
3-第六节[AggressorScripts编写Sleep语法简介]
3-第七节[AggressorScripts编写CS菜单]
3-第八节[AggressorScripts编写简单的脚本]

上个月做了一次项目,是某系统的测试,简单做一次测试总结

首先拿到项目给的测试范围,几个域名打开发现都是需要登入的系统,首页只有一个登入框。

1.png

第一眼。没啥思路,有验证码burp爆破路子是行不通了。测试也不让用扫描器,于是上搜索引擎搜一下这个系统。发现某一个页面有该系统的介绍和附件下载,大致介绍就是大家要熟练使用这个系统。

2.png

下面跟着一个附件的下载链接,下载回来打开看看,发现是系统使用的说明书。

3.png

而且运气很好,这个说明书的编写者,在编写说明书的时候截图了部分系统的使用界面,而界面中刚好就包含了一部分专家的账号。

4.png

同时说明书里也写出了所有账号所使用的初始密码。

5.png

观察了一下泄露的账号,fuzz一下账号的命名规则,结合初始密码。因为有验证码的关系,逐个去手动登入了一下。试了大概四五个就遇见了一个没改初始密码的账号。

6.png

成功登入

进入系统后 发现该系统是专家的评审系统,每个账号只可以看到10人信息并给与评审

7.png

直接F12一下查看页面元素。发现每一个姓名都有一个ID号。

8.png

猜测应该是通过ID参数来显示可能存在ID遍历,于是用burp尝试抓包

9.png

可以看到ID遍历出了所有包含了姓名 编号 手机号 身份证号 照片路径 单位 等详细信息的用户信息

10.png

然后照片处发现了一个神奇的URL

11.png

照片的路径为URL=/图片路径/
尝试把URL后面的路径改为/etc/passwd

12.png

成功下载到passwd文件,一个任意文件读取的漏洞到手了。

继续翻看系统发现一个没验证码的登入页面,随便试了一下,发现并没有提示登入成功还是失败,也没有返回任何信息

13.png

抓包分析一下,发现账号密码正确则返回ture,反之则返回flase

14.png

于是用刚刚ID遍历获取的身份证信息做字典 用户名为身份证 密码为身份证后八位(为啥后八位,之前泄露的说明书里有说明)

15.png

对可以成功登入的账号和密码进行整理,去尝试进行其他系统的撞库。刚好另一处登入系统的账号就是身份证。

16.png

尝试撞库登入系统

17.png

成功登入另一处系统,

总结一下:
这次漏洞的主要起因就是客户习惯性的用公告的形式,同时用户去下载一个看似不起眼的使用说明书,而说明书的编写者没有对系统截图中的敏感截图部位进行打码处理,导致了部分用户登入账号信息泄露出去,而正是这几处微小的不起眼的细节给攻击者一个可乘之机。从而导致了后面一连锁的漏洞。如果没有这个附件给与登入系统的突破口,那么后续也无法登入系统,从而无法发现ID遍历和任意文件下载,进而也无法在无验证码的登入页面处制作字典撞库其他系统。

以下网友讨论:

45190FB2-4D71-4F3B-B69C-D0C929917C84.png

2019年3月28日,火眼发布了一个包含超过140个开源Windows渗透工具包,红队渗透测试员和蓝队防御人员均拥有了顶级侦察与漏洞利用程序集。该工具集名为“CommandoVM”。

安全工作者在对系统环境进行渗透测试时常常会自己配置虚拟机,如果是Linux的话还好,还有Kali Linux可以用。但是碰上Windows环境就惨了,往往配置虚拟机环境就要好几个小时。一边要维护自定义的虚拟机环境,一边还要时常升级集成的工具套件,花费的时间成本颇高。最近火眼推出了一款面向红队的Commando VM渗透测试套件,有需要的小伙伴可以看一看,免费又好用。

1.jpeg

火眼旗下麦迪安网络安全公司顾问以及Commando VM套件的联合创建者 Jake Barteaux 表示:

在进行内部渗透测试时,我身边的大部分渗透测试工程师都会先自行配置一个Windows测试环境。能不能把这个环境配置好,配得有多快,已然成为了衡量渗透测试工程师手艺高低的标准了。其中很多人都会再自己配置的环境中集成Commando中也有的工具,不过在对Windows进行渗透测试时大家并没有形成一个标准的工具集。

这一次火眼推出的标准化工具套件解决了两个最关键的问题。其一是整合了最优秀的渗透测试工具,无需再花很多时间去寻觅。其二则是2013年发布的Kali Linux继承了超过600款安全、取证和探索工具,Commando选取了其中适用于Windows平台的精华工具,其中很多还是Windows平台原生支持的。

而渗透测试人员面临的第二个问题就是工具集的维护。Commando VM将所有工具打包到一个发行版中可以加快维护速度,修补和更新都更加简单。
关于Commando VM

火眼本次推出的Commando VM套件面向Windows平台构建,属于此前发布的FLARE VM套件的全新迭代版本,后者专攻逆向工程和恶意软件分析,Commando VM功能更加全面,是Windows环境中内部渗透测试的首选平台。

使用基于Windows平台构建的虚拟机环境有以下几点明显优势:

1、原生支持Windows和Active Directory;

2、可作为C2框架的临时工作区;

3、更便捷的共享和交互式操作支持;

4、支持PowerView和BloodHound等工具;

5、对测试目标不产生任何影响。

2.jpeg
工具列表(详见文末GitHub地址)

Commando VM使用Boxstarter、Chocolatey和MyGet软件包来安装所有软件,并提供多种用于渗透测试的工具和实用程序,共计140多款,涵盖以下领域:

Nmap
Wireshark
Covenant
Python
Go
Remote
Server Administration Tools
Sysinternals
Mimikatz
Burp-Suite
x64dbg
Hashcat

红蓝对抗中的双方都可以从Commando VM获益,对于蓝队而言该套件提供了高性能的网络审计和检测能力。

3.jpeg

安装

建议在虚拟机中部署Commando VM,使用虚拟机软件的快照功能减少重新配置环境所需的时间,虚拟机环境要满足以下最低要求:

60GB磁盘空间

2GB内存

在完成虚拟机的基本配置后安装Windows镜像,支持:

Windows 7 Service Pack 1

Windows 10

建议使用Windows 10镜像以支持更多功能。

系统安装完成后建议添加配套的虚拟机工具(例如VMware Tools)以支持复制/粘贴、屏幕显示调整等其他设置。虚拟机环境配置成功后,以下所有的步骤均在该环境中操作。

1、运行Windows Update确保系统已更新至最新版。建议更新完成后重启系统再次检查。

2、确保系统为最新版本后建立快照,万一需要重新配置的话可省去安装系统的时间。

3、下载GitHub上的Commando VM文件并解压缩。

4、找到解压缩后的文件夹目录,使用管理员权限打开PowerShell会话(安装Commando VM需要修改系统设置)。

5、键入以下命令将PowerShell的执行策略更改为不受限制,并在PowerShell提示时回答“ Y ”:Set-ExecutionPolicy unrestricted

6、执行install.ps1安装脚本。系统将提示输入当前用户的密码。Commando VM需要当前用户的密码才能在重启后自动登录。可以通过命令行“-password ”来指定当前用户的密码。

4.jpeg

7、剩下的安装过程需要联网并自动执行,根据网络速度可能需要2至3小时完成。期间虚拟机系统会重启多次。安装完成后,PowerShell保持打开状态,键入任意键可退出,完成后的桌面如下:

5.jpeg

8、看到这个桌面后再次重启系统保证所有配置生效。重启后再次建立快照以便不时之需。

传送门

Commando VM 页面:https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html

Commando VM 项目地址:https://github.com/fireeye/commando-vm