问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
记一次曲折的渗透测试
渗透测试
记一次曲折的渗透测试 > 本次渗透测试为授权测试,信息皆做脱敏处理 启 拿到网站,其中一个资产为该单位办公系统,看到界面比较老,感觉有戏, 所用系统为九思oa,先去搜一下已公开的poc看看...
记一次曲折的渗透测试 > 本次渗透测试为授权测试,信息皆做脱敏处理 0x00 启 ====== 拿到网站,其中一个资产为该单位办公系统,看到界面比较老,感觉有戏, 所用系统为九思oa,先去搜一下已公开的poc看看能不能去打 ![image-20220601201838486.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-84777a45a5b947b75b32a26eeeafb960af8ae2fd.png) ![image-20220601201826085.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-2004d874c267b04bf1ae0e40f5429f554e62330a.png) 搜到了两个,尝试无果,就把所有资产都丢进awvs里扫一下,抱着试一试的心态去看看能不能扫出东西来 ![image-20220601202119547.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-38d59cb5654e8aedde72b4fbf27b89f91e4677e5.png) 发现此处存在sql注入,可执行sleep语句,就去抓个包,尝试用sqlmap一把梭 python sqlmap.py -r 1.txt --dbs 发现跑不出来,想找原因,就去手工测试了一下 ![image-20220601202838143.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-11e945c6d2f27176b1229e056fcbcd1da424a235.png) 在输入admin的时候提示是该用户没有维护邮箱,但是应该存在该用户 ![image-20220601202936200.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-8a0cee3b938bc1bfa1b940848fd370ed3df4ca6b.png) 加'发现报错提示没有该用户信息 ![image-20220601203220876.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-6f9a488f686ef672289ad0712b401190d351e4c6.png) 加了#号之后和单独输入admin一样,那就证明其存在sql注入,通过fuzzy,发现其过滤了空格。 尝试用sqlmap的temper脚本去绕过 python sqlmap.py -r 1.txt --tamper\\=space2comment -dbs 果然成功了 ![image-20220601204755423.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-262282f6c4f29047c2af3f7deca2e127ba36c399.png) 0x01 承 ====== 想要通过sql注入注出账号密码 ![image-20220601205449309.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-3eb5e959e306f4f34856497c34474b923227a0b0.png) jsdb的md5解密后为12345678 root的md5解密后为jiusi ![image-20220601205558917.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-7891f45a55256555fc1e0310544c0897be95721e.png) 用御剑扫描其端口发现其数据库端口并未开放,只能作罢,去寻找其他思路 ![image-20220601205632359.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-c01e7d8f6d71f024e2d9cb5897e06bba4e775669.png) 尝试去写一个webshell进去,发现也失败了,权限不够,而且不知道绝对路径 那就尝试去注出网站的账号密码,登入试试看看能不能getshell。 此时问题又来了,我们不知道账号密码在那个表里,而且由于是盲注,速度比较慢,一个oa里有几百张表,一个表里有几十个字段,也来不及一个一个试,此时又陷入了僵局。 0x02 转 ====== 我们继续去扫描该单位站点,发现该单位还有一测试的九思oa站点,且端口开放为3306,猜想之前注出的数据库密码jiusi为该数据库的密码,直接用Navicat去连接, 发现其表的结构如下 ![image-20220604204710499.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-94f0f5d65c9d8b9251a81787895474591694bc00.png) 有几百张表(幸亏没跑盲注),通过该表的结构,去构造相应的sql语句(利用sqlmap的sql-shell来执行),成功把管理员以及其他用户的账号密码注了出来,数据库的密码并非用明文储存, ![image-20220604205152908.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-b4ce6d591b7caafc99f95b43a41b067b1088001d.png) 注出一串39位的字符,并非md5,通过对前端代码进行分析,发现其先进行了md5加密,然后交给后端处理,一定是后端又进行了加密,在网上搜到了该oa的部分源码 ![1.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-23ab50cb6793b768dc8909218facecb2a8f5324a.png) 发现其逻辑如下,先截取10到15位的字符,后面去添加随机生成的字符,再截取0-5位的字符,再去生成一个随机字符添加到后面,以此类推。通过对算法逆向得出如下结果,需要舍弃固定位数,再对字符串进行重拼,即可得到相应的md5值,然后尝试去md5解密,可惜的是没把管理员的md5给破解出来,破解出来了一些普通用户的密码,然后登入。 ![image-20220604205334611.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-00fb34fe04132382f4f563c20d47ccd7e8cfd4e4.png) 0x03 合 ====== 进入oa,看看有没有上传点,尝试上传,发现其过滤了.jsp文件后缀,且为白名单上传,尝试了几个姿势,无法绕过。 通过指纹识别发现其利用了eweditor组件,搜索该组件是否存在漏洞, 尝试用默认密码登入,发现可以进去,把图片类型给加一个jsp,尝试上传 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-5ed56258f40c91b5e7ac059395a9acda719541e9.png) ![image-20220604205741782.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-80bfd65c2997028e28d4945a63b86653653e1d1a.png) 上传成功 ![image-20220604210209773.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-635b315560c38c786bc8842e2fd499c5803e7d7a.png) ![image-20220604210430090.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-426a166fe56b0f360fc23bfb1bbefac890221cc1.png) 成功rce,接下来就上线CS去内网漫游
发表于 2022-07-19 09:42:26
阅读 ( 9761 )
分类:
渗透测试
4 推荐
收藏
5 条评论
wscym
2022-08-27 18:14
eWebEditor后台设置了允许jsp,也传不上去,不知道几几年的版本了能传
请先
登录
后评论
Lyricen
2022-07-19 17:06
师傅,想问一下这是什么漏洞库
Air
回复
Lyricen
wangan
请先
登录
后评论
cooler
2022-08-11 13:48
666
请先
登录
后评论
sky666sec
2022-09-08 12:05
什么鬼啊?真的骚。
请先
登录
后评论
请先
登录
后评论
Air
1 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!