一:信息收集階段
因為目標是學校,一般會去考慮收集學號,教工號。因為有的登陸點需要此類信息,且密碼存在規律性(身份證後六位,123456)。
目標域名xxx.com
開始的時候,我是直接通過github搜索是否存在敏感信息泄露,運氣不賴,得到一個webvpn賬戶。語法:".xxx.com password"
效果如下:
然後通過企查查,天眼查等平台,查詢目標網站備案信息,爆破了一下目標的子域名,儘可能收集的全面一些。在這裡,通過在線域名查詢的時候,出來很多子域名,但這些子域名點開之後,大多都跳轉到了目標主頁,利用價值不大。
所以我之後選擇藉助FOFA來繼續查詢,語法:domain="xx.com",發現存在一個oa系統,經檢測,屬於某凌OA。
這裡就直接藉助工具測試了一下,成功拿到webshell。
權限不是root,暫且放在這裡。選擇繼續用webvpn賬戶進行探測。
二:WEBVPN突破
前期收集到的webvpn賬戶還沒用,主頁存在一個vpn系統,點擊之後跳轉到vpn.xx.com頁面。輸入賬號密碼,成功登錄。
登錄之後,點擊點一個系統進行查看,因為後台掛着xray,檢測到了struts遠程代碼執行,藉助工具進行驗證,驗證成功,可以執行系統命令。
選擇學工系統,利用剛剛爆破的賬號,同樣可以登錄。學生信息處,可以進行上傳,嘗試利用,利用失敗,但是在這裡發現了一個有意思的點。修改Content-Type的類型為text/html,可以造成彈窗。
不過這個系統還是有可以利用的地方,具體參考https://forum.butian.net/share/198
測試的時候,也挖掘到了一個sql注入。
這裡選擇了利用剛剛遠程代碼執行的系統,進行深入,進行powershell上線cs,進行內網滲透,
代理出來,進行內網掃描,探測web服務,以及ms17010.這裡探測到一個web服務為雲桌面,猜測是學校機房,密碼很簡單,就是123456.
這裡存在一些桌面服務的密碼,F12,將type類型改為text,得到一串密碼。因為是雲桌面,根據經驗一般存在域機器,直接探測XX.XX.0.0/16,查詢主機名,發現域機器,這裡我使用了剛剛F12查看到的密碼,進行登錄,發現成功登錄,smb成功上線。
因為是域控,可以直接控制學校某樓的機房遠程開機關機,並監視。
最後收尾的時候,發現圖書館存在注入,同樣是注入到表名,沒有更加深入了。
總結就是:信息收集很重要,主要是暴露出來的OA和github搜索到的敏感賬戶信息,不然打進去不是這麼容易,有0day除外(逃
作者:喜歡吃蛋炒飯,轉載於先知社區。
PS:紅隊技術、滲透教程、安全工具、POC/EXP等乾貨分享,歡迎掃碼加入我的知識星球。
點擊上方,關注公眾號
如文章對你有幫助,請支持點下「贊」「在看」
留言列表