地市红队攻防演练经验总结

文摘   2024-01-27 11:36   陕西  






在过去2023的日子里,参加了某个地市的攻防,因此,想写下该文章总结下经验









免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!





1

任意密码重置

LOVE

通过微信小程序的密码重置漏洞打回web站点





某地市小程序忘记密码处存在验证码缺陷,可随意输入验证码进入修改密码页面

这里的手机号是通过查阅js配合用户名枚举漏洞对该账号进行密码修改,并成功进入系统。
账号:1866614xxxx,密码:你的新密码

同时该账号可以登录web系统的靶标,怎么发现的是因为该web通过findSomething插件发现和小程序相同的手机号泄露

在后台接口中发现系统管理路由:/subsystem,拼接管理员路由后可对系统进行管理,获取管理路由的接口

用户管理功能中发现管理员用户

利用密码修改漏洞将管理员用户密码修改为新密码并成功登录,获取靶标web管理员权限:
1331814xxxx
新密码

获得大量敏感数据分

4964台摄像头权限接管














2

minio默认账号密码

LOVE

通过minio默认账号密码进入获得大量政务数据






通过某靶标的web系统扫描全端口,在9000端口处是minio的站点

账号:adminminio
密码:adminminio

总计85.62GB

大量政务文件信息







3


曲线救国打法



LOVE

通过对开发人员的测试系统突破再打回主靶标






由于靶标系统均上了安全设备,无法打的情况下,我们可以对该系统的开发公司找找,说不定有一模一样的系统在互联网上,通常是测试系统,做好后忘记关闭了,实属开发的锅,通过突破测试系统后,提权+远程桌面连接,在后续导出开发人员的浏览器账号密码获得主靶标正式系统的密码,从而实现打回主靶标


对靶标系统名称进行谷歌语法

系统名称直接搜寻,打开第一个链接

可以看到他们的产品

鹰图web.title搜索靶标系统名,查不到就web.body

可以看到该系统备案是开发公司的

登录框直接就是SQL注入(主靶标的系统一注就被WAF干掉)

DBA权限,直接--os-shell接管

后续提权+远程桌面+导出浏览器凭证不再复述,重点在于打点突破思维









4


AccessKey泄露接管云主机+RDS+存储桶



LOVE

通过js泄露获得accessKeySecret和accessKeyID






通过js源码进行搜索发现有accessKey

一键CF工具接管阿里云

发现为root身份权限

成功接管5台云主机

接管存储桶

13个存储桶,都是一些源码文件以及sql文件

接管2台云数据库RDS-Mysql

以及最后接管阿里云控制台

为了不造成影响,接管后在执行取消接管控制台









5


小程序弱口令+Log4jRCE+AS泄露+Druid



LOVE

通过一个弱口令打出更多漏洞






通过搜索目标单位的小程序

通过admin 123456就进去了

进入后台获得AppID和AppSecret

访问微信公众平台接口调试工具
地址:https://mp.weixin.qq.com/debug
输入微信小程序密钥获取token

通过token即可接管控制该平台小程序
可以控制小程序给关注的用户推送信息,高危操作不作演示


Druid未授权是通过Burp插件BpScan扫描到的

该危害可以使攻击者获得Session信息接管别的用户

同时再通过Log4jScan插件扫描到Log4jRCE








6

kkfileview文件读取Nday利用


LOVE

通过该nday获得redis和mysql数据库权限






通过扫描全端口,发现开放8012端口,kkfileview,历史存在任意文件读取漏洞

通过拼接/getCorsFile?urlPath=file://d:\\ 可读取目标机器所有磁盘文件,这里读取的是d盘

对磁盘文件进行深入读取
/getCorsFile?urlPath=file://d:\\drug,发现类似源码文件

对其进行下载,寻找敏感配置文件:
发现mysql账号密码信息

获得mysql权限

获得redis权限

成功连接







7

密码猜测+SpringBoot泄露

LOVE

通过公司名生成密码字典+mysql权限






这里是对林业局系统进行突破

通过开发商为广州坤盛信息科技有限公司推测,生成字典。

ksxx@2021

ksxx@2022

ksxx@2023

ksxx@2024

Burp爆破得到
账号:admin
密码:ksxx@2023

系统内可获取35台设备

可以获取740个人员信息,包括姓名、单位、级别、职务、手机号等

同时通过相同密码获得运维管理系统权限

再同时,Burp的SpringScan插件扫描到SpringBoot泄露

/ksp-forest/actuator/env
通过下载:http://url/ksp-forest/actuator/heapdump
获得mysql账号密码并成功连接






























2024祝各位师傅们挖洞多多




赤弋安全团队
渗透测试,代码审计,CTF ,红蓝对抗,SRC
 最新文章