前言

參加了一次紅隊(duì)考核。

要求介紹

一些基本要求:? ? ?

三個(gè)端口,獲得shell并提權(quán)，代碼審計(jì)0day加分。

環(huán)境介紹

127.0.0.1:8000? 銀行系統(tǒng)

127.0.0.1:8001? tomexam系統(tǒng)

127.0.0.1:8002? jspxmcs

過(guò)程1

127.0.0.1:8000

這個(gè)根據(jù)網(wǎng)上的說(shuō)話,說(shuō)他有注入點(diǎn)，進(jìn)行了嘗試。 發(fā)現(xiàn)無(wú)法注入，應(yīng)該是做了加固。先放一放。

過(guò)程2

127.0.0.1:8001

是一個(gè)tomexam系統(tǒng) 后臺(tái)存在sql注入點(diǎn)。 注冊(cè)任意賬號(hào)進(jìn)去。 新聞管理處有sql注入點(diǎn)。

看一下。 沒有寫入權(quán)限--無(wú)法上傳webshell 不支持堆疊注入--無(wú)法update數(shù)據(jù)庫(kù)(后續(xù)會(huì)用到)

三個(gè)靶場(chǎng)是同一個(gè)數(shù)據(jù)庫(kù)，這里把用戶名密碼都下載了下來(lái)。

進(jìn)入tomexam系統(tǒng)后臺(tái),初步嘗試文件上傳 除了jpg其余都返回不能上傳。(后續(xù)能繞過(guò))。 百度了一下,發(fā)現(xiàn)所有文章都沒有寫這個(gè)上傳點(diǎn)。 嘗試了一下繞過(guò)，還是只能上傳jpg圖片。

放一下看一看另一個(gè)系統(tǒng)。

過(guò)程3

127.0.0.1:8002 jspxcms

網(wǎng)上都是利用這個(gè)后臺(tái)進(jìn)行上傳文件getshell的， 根據(jù)剛剛讀取的密碼,發(fā)現(xiàn)admin密碼無(wú)法碰撞出來(lái)。 其余的賬號(hào)都沒有權(quán)限。

這里嘗試了一些路徑拼接全部都是403,嘗試了一寫403的繞過(guò)，失敗。 這里找到了jspxcms的源碼。找到了一些網(wǎng)上沒有出現(xiàn)過(guò)的上傳點(diǎn)。 發(fā)現(xiàn)能上傳，但是和本地搭建的環(huán)境不太一樣。 嘗試后也是失敗。

說(shuō)實(shí)話這里有點(diǎn)難頂。 能想到的方式和網(wǎng)上的方式都嘗試了。發(fā)現(xiàn)都無(wú)法上傳shell。

峰回路轉(zhuǎn)-1

沉下心想一下： 回頭捋一下,這幾個(gè)系統(tǒng)。想獲得shell---文件上傳、rce、sql注入。 這里sql注入--失敗(應(yīng)該有我沒發(fā)現(xiàn)的)。 rce--也失敗了(應(yīng)該有我沒發(fā)現(xiàn)的) 文件上傳--感覺是白名單。

別被別人影響,不要先入為主。(就死在這上面了) 繼續(xù)嘗試127.0.0.1:8001 文件上傳也就tomexam系統(tǒng)有?？匆幌略创a吧。 在網(wǎng)上找到了源碼。 第一次看感覺就是白名單。 第二次看,這是一個(gè)假的白名單。是假的竟然?？梢岳@過(guò)。 PS:網(wǎng)上沒有寫出來(lái),人家還要考核,這里具體就不泄露了。感興趣可以自己看一下。

知道是假的了。那么直接嘗試上傳文件,獲取webshell

server 2012 ?土豆家族內(nèi)存提權(quán)。

峰回路轉(zhuǎn)2

繼續(xù) 127.0.0.1:8002 8001端口getshell了。 然后嘗試8001-jspxcms的服務(wù)。 這里漏洞都嘗試了,只有后臺(tái)沒有嘗試。但是密碼無(wú)法碰撞出來(lái)

SQL不支持堆疊注入--無(wú)法修改密碼。

這里取巧了。 還記得8001的shell嗎。 利用上文的shell。直接連接sql。重置密碼。

登錄admin 密碼為空 制造war包。

提權(quán)和上述一樣。

峰回路轉(zhuǎn)3

127.0.0.1:8000 只有這個(gè)沒有shell了。 說(shuō)一下這個(gè)系統(tǒng)。 登錄后臺(tái),發(fā)現(xiàn)并沒有什么功能。 只有一個(gè)任意文件下載的漏洞。 自帶的文件下載是下圖這個(gè)路徑。

千萬(wàn)別思想固化。 之后才想到的這個(gè)思路。

開始并沒有掃描對(duì)方端口，發(fā)現(xiàn)開發(fā)了3306端口。 那么思路就來(lái)了。 任意文件下載--->下載數(shù)據(jù)庫(kù)用戶名密碼--->連接--->寫入webshell--->你說(shuō)路徑在哪里，你看看上面默認(rèn)下載的文件是不是就是路徑呢。

更多精彩，關(guān)注公眾號(hào)