最近和师傅们群聊吹水的时候得到了如下结论
两次实战记录看看是果真如此吗
1.某次众测(且已经有了0day储备)
某某src上了众测,信息收集找到某系统是有0day储备的,准备梭哈开开心心打内网
我测 居然有d盾,在这个云waf的时代好久没看到了
使用高并发➕脏数据就可以绕过 (通过消耗服务器资源钻空子)
打开这个200的页面我以为是上传成功了,结果是安全狗的防护页面 !!!
继续进行绕过,试了很多方法各种组合技 最后fuzz了一种可以 文件名为Content-Disposition+脏数据混淆安全狗解析
看到这个绿色的路径以为稳了,结果是说访问被拒绝
不能落地aspx,asmx,ashx等常规后缀的文件应该有有edr或者杀软的规则,通过fuzz可落地soap,cshtml soap上传后 d盾拦截不解析
干货来了
cshtml文件为net的视图文件,而在net某些版本默认访问是不解析的,当前环境就是这样访问404
但是熟悉net mvc代码审计的师傅应该知道可以用mvc特性去解析视图文件
通过替换当前web的视图文件
再利用mvc路由实现解析(有一定的破坏性)成功执行代码得到当前用户
当我开开心心的准备调用cmd执行命令的时候发现Permission Denied !
应该还是上面的杀软或者edr不让调用cmd.exe,使用Assembly.Load加载也是不行
可恶啊!到这里已经耗费了几个小时的时间了,难道就要这样放弃了。
灵光一现,这个net系统一般都是mssql,是否可以用代码调用数据库执行xpcmdshell提权执行命令呢,将web.config文件复制到网站根目录
访问,得到数据库账号密码
通过cshtml连接数据库执行sql语句(由于有waf将sql语句base64 然后在解码)
开启xpcmdshell成功rce!!!
由于是众测,这次没有任何防守人员,也没有看到流量去应急,绕到现在拿rce用了一下午时间,在护网中遇到防守厉害的目标可能早早就关站了。。
2.某次市级护网打点
通过信息收集钓鱼获取webvpn凭证
登录发现可以直接通10段,但是做了网络隔离,只能访问到部分web资产端口
一个个看了看发现能访问的资产很有限,而且都是比较新的系统,nday也没得 功能质检员发现了一处弱口令 4/123456
权限不高,找到了几处sql注入但是是ora还有waf,拿shell概率不大
转战供应链攻击拿源码 在互联网测找其他通用系统,没waf的,通过sql注入拿到后台管理员权限,然后后台文件上传getshell
得到源码,进行代码审计 文件上传无过滤
成功rce内网站点(内网还有强waf就离谱,asmx+编码绕过)
提权到管理员
准备上线vshell 上去1s就断(应该是edr的原因)过了两分钟站点关了 10分钟vpn禁用(这速度我测)15分钟马被扔沙箱。
这次应该先用webshell去慢慢摸拿内网一台机器做维权的,但是由于是webvpn进入内网的shell很卡,就直接想着上线速度快一点,还是大意了。。
由于shell工具是用的还是自己强改过流量的哥斯拉,所以连接数据库统计数据都没啥问题,但是上线vshell的瞬间被edr捕捉了,然后蓝队应急,所以除了webshell工具还得自己写远控或者二改远控,但是cs常规流量二改其实作用不大,内存特征太明显了,单兵作战的话还得是学开发给自己赋能。
