奇安信攻防社区-记一次曲折的渗透测试

记一次曲折的渗透测试

记一次曲折的渗透测试 > 本次渗透测试为授权测试，信息皆做脱敏处理启拿到网站，其中一个资产为该单位办公系统，看到界面比较老，感觉有戏，所用系统为九思oa，先去搜一下已公开的poc看看...

记一次曲折的渗透测试

> 本次渗透测试为授权测试，信息皆做脱敏处理

0x00 启
======

拿到网站，其中一个资产为该单位办公系统，看到界面比较老，感觉有戏，

所用系统为九思oa，先去搜一下已公开的poc看看能不能去打

![image-20220601201838486.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-84777a45a5b947b75b32a26eeeafb960af8ae2fd.png)

![image-20220601201826085.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-2004d874c267b04bf1ae0e40f5429f554e62330a.png)

搜到了两个，尝试无果，就把所有资产都丢进awvs里扫一下，抱着试一试的心态去看看能不能扫出东西来

![image-20220601202119547.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-38d59cb5654e8aedde72b4fbf27b89f91e4677e5.png)

发现此处存在sql注入，可执行sleep语句，就去抓个包，尝试用sqlmap一把梭

python sqlmap.py -r 1.txt --dbs

发现跑不出来，想找原因，就去手工测试了一下

![image-20220601202838143.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-11e945c6d2f27176b1229e056fcbcd1da424a235.png)

在输入admin的时候提示是该用户没有维护邮箱，但是应该存在该用户

![image-20220601202936200.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-8a0cee3b938bc1bfa1b940848fd370ed3df4ca6b.png)  
加'发现报错提示没有该用户信息

![image-20220601203220876.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-6f9a488f686ef672289ad0712b401190d351e4c6.png)  
加了#号之后和单独输入admin一样，那就证明其存在sql注入，通过fuzzy，发现其过滤了空格。

尝试用sqlmap的temper脚本去绕过

python sqlmap.py -r 1.txt --tamper\\=space2comment -dbs

果然成功了

![image-20220601204755423.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-262282f6c4f29047c2af3f7deca2e127ba36c399.png)

0x01 承
======

想要通过sql注入注出账号密码

![image-20220601205449309.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-3eb5e959e306f4f34856497c34474b923227a0b0.png)

jsdb的md5解密后为12345678

root的md5解密后为jiusi

![image-20220601205558917.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-7891f45a55256555fc1e0310544c0897be95721e.png)

用御剑扫描其端口发现其数据库端口并未开放，只能作罢，去寻找其他思路

![image-20220601205632359.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-c01e7d8f6d71f024e2d9cb5897e06bba4e775669.png)  
尝试去写一个webshell进去，发现也失败了，权限不够，而且不知道绝对路径

那就尝试去注出网站的账号密码，登入试试看看能不能getshell。

此时问题又来了，我们不知道账号密码在那个表里，而且由于是盲注，速度比较慢，一个oa里有几百张表，一个表里有几十个字段，也来不及一个一个试，此时又陷入了僵局。

0x02 转
======

我们继续去扫描该单位站点，发现该单位还有一测试的九思oa站点，且端口开放为3306，猜想之前注出的数据库密码jiusi为该数据库的密码，直接用Navicat去连接，

发现其表的结构如下

![image-20220604204710499.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-94f0f5d65c9d8b9251a81787895474591694bc00.png)

有几百张表(幸亏没跑盲注)，通过该表的结构，去构造相应的sql语句(利用sqlmap的sql-shell来执行)，成功把管理员以及其他用户的账号密码注了出来，数据库的密码并非用明文储存，

![image-20220604205152908.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-b4ce6d591b7caafc99f95b43a41b067b1088001d.png)

注出一串39位的字符，并非md5，通过对前端代码进行分析，发现其先进行了md5加密，然后交给后端处理，一定是后端又进行了加密，在网上搜到了该oa的部分源码

![1.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-23ab50cb6793b768dc8909218facecb2a8f5324a.png)

发现其逻辑如下，先截取10到15位的字符，后面去添加随机生成的字符，再截取0-5位的字符，再去生成一个随机字符添加到后面，以此类推。通过对算法逆向得出如下结果，需要舍弃固定位数，再对字符串进行重拼，即可得到相应的md5值，然后尝试去md5解密，可惜的是没把管理员的md5给破解出来，破解出来了一些普通用户的密码，然后登入。

![image-20220604205334611.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-00fb34fe04132382f4f563c20d47ccd7e8cfd4e4.png)

0x03 合
======

进入oa，看看有没有上传点，尝试上传，发现其过滤了.jsp文件后缀，且为白名单上传，尝试了几个姿势，无法绕过。

通过指纹识别发现其利用了eweditor组件，搜索该组件是否存在漏洞，  
尝试用默认密码登入，发现可以进去，把图片类型给加一个jsp，尝试上传

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-5ed56258f40c91b5e7ac059395a9acda719541e9.png)

![image-20220604205741782.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-80bfd65c2997028e28d4945a63b86653653e1d1a.png)

上传成功

![image-20220604210209773.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-635b315560c38c786bc8842e2fd499c5803e7d7a.png)

![image-20220604210430090.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-426a166fe56b0f360fc23bfb1bbefac890221cc1.png)

成功rce，接下来就上线CS去内网漫游

发表于 2022-07-19 09:42:26
阅读 ( 9765 )
分类：渗透测试

5 条评论

wscym 2022-08-27 18:14

eWebEditor后台设置了允许jsp，也传不上去，不知道几几年的版本了能传

Lyricen 2022-07-19 17:06

师傅，想问一下这是什么漏洞库

Air 回复 Lyricen

wangan

2022-07-20 18:52
回复

cooler 2022-08-11 13:48

666

sky666sec 2022-09-08 12:05

什么鬼啊?真的骚。