這是一次內(nèi)網(wǎng)***,為何標(biāo)題不寫內(nèi)網(wǎng)呢，因為當(dāng)時搞的時候不知道是內(nèi)網(wǎng),搞到一臺主機(jī)之后才知道是雙網(wǎng)卡，有對內(nèi)的網(wǎng)卡，以為只是一次簡單web***， 所以沒必要夸大標(biāo)題。?

? ? ?不會寫的太詳細(xì),大概記錄下流程

1、突破口

? ? 通過內(nèi)部掃描器沒有什么服務(wù)器方面漏洞,只有一些信息泄漏，調(diào)試信息等，根本對這次的***起不到關(guān)鍵的作用，當(dāng)時看了幾天沒啥思路了,該看的漏洞都看過去了，比如上傳啊 社工啊 ?注入啊等等的都沒辦法用,當(dāng)時二級域名掃出來了,也沒啥思路了，就去看二級域名的c段了，在二級域名的c段的用iis put scaner(可返回title)工具掃描的時候發(fā)現(xiàn)了一個主機(jī)頭綁定是blog的子域名,當(dāng)時其實他們的blog的子域名是解析到另外一臺主機(jī)的,我本地host綁定掃出來ip跟blog域名,直接訪問,變成了另外的一個網(wǎng)站，是wordpress,那么剩下的就是找漏洞了。wpscan掃描沒啥漏洞,通過目測wordpress插件進(jìn)行查找，也沒啥大的問題，祭出最無奈的一招，暴力破解，抓取用戶，進(jìn)行密碼爆破,密碼為弱口令,進(jìn)去后臺，在模版處拿webshell,ifconfig查看雙網(wǎng)卡，內(nèi)網(wǎng)。

2、內(nèi)網(wǎng)***

? ?從上面博客已拿到了webshell,開啟s5的反向代理,在博客的那個機(jī)器用py腳本掃描常見的端口，常見端口，通過掃描發(fā)現(xiàn)9200?27017 ?27018?6379端口,看到9200立馬想到了ElasticSearch的代碼執(zhí)行，發(fā)現(xiàn)存在CVE-2014-3120漏洞，直接執(zhí)行命令，wget下載 反彈個shell，通過翻看/etc/配置文件目錄發(fā)現(xiàn)zabbix的服務(wù)端地址，正常情況下服務(wù)端都有web管理界面(其實zabbix服務(wù)端的機(jī)器當(dāng)時我看過,但是直接現(xiàn)顯示是redhat頁面還是apache頁面默認(rèn)的頁面，忘記了,當(dāng)時沒掃目錄,假如掃目錄就可以發(fā)現(xiàn)zabbix的機(jī)器，因為zabbix的web控制端目錄是zabbix)，訪問zabbix web管理端,腦子立馬反映這玩意有個注入Zabbix SQL Injection/RCE – CVE-2013-5743,哦呵呵 ?一測試 還確實存在 但是表名修改了,丟到sqlmap里面去跑了,跑到密碼，有幾個不能解密，解密了一個登錄進(jìn)去，權(quán)限太低，啥都干不了， 當(dāng)前庫的用戶是新建的用戶不是root但是權(quán)限挺大可以直接訪問mysql數(shù)據(jù)庫,查詢mysql.user查看到root的密碼,(這個Mysql的密碼 還是blog的機(jī)器的ss密碼，當(dāng)時blog的時候)連接mysql,update了一個高權(quán)限的用戶,進(jìn)去zabbix的管理控制端,本來是想著利用zabbix的命令執(zhí)行搞內(nèi)網(wǎng)的機(jī)器呢,結(jié)果客戶端不能執(zhí)行命令，只有zabbix服務(wù)端可以執(zhí)行命令,那么我就把zabbix服務(wù)端這太機(jī)器反彈回來了。(zabbix的表中存有session id 可以利用session欺騙進(jìn)去，不用添加用戶的，兩種辦法。)

3.跨網(wǎng)段

? 上面把zabbix的機(jī)器反彈回來了，因為目標(biāo)的主站客戶說在40網(wǎng)段，但是我們搞的是198.168.1.1,跨不過去,但是把zabbix機(jī)器搞下來的時候時候可以跨了，因為對內(nèi)網(wǎng)的很多主機(jī)要進(jìn)行監(jiān)控，當(dāng)然不能做隔離嘛,并且通過netstat 查看發(fā)現(xiàn)很多內(nèi)網(wǎng)ip，之后有在zabbix的機(jī)器配置文件 發(fā)現(xiàn)了內(nèi)網(wǎng)dns服務(wù)器.測試發(fā)現(xiàn)存在域傳送漏洞。并知道主站的ip地址，其實發(fā)現(xiàn)dns域傳送漏洞之前我們已經(jīng)找到了目標(biāo)站了,并不是客戶說的40網(wǎng)段，在20網(wǎng)段，我們怎么樣的發(fā)現(xiàn)的呢？ 是這樣發(fā)現(xiàn)的,用nmap掃描的在Zabbix看到網(wǎng)段的時候,訪問內(nèi)網(wǎng)的一個ip的時候直接跳轉(zhuǎn)到主站了,那時候%70確定了，之后有發(fā)現(xiàn)了dns域傳送，更加確定了。之后通過收集的信息,拿下了客戶的數(shù)據(jù)。

?簡單的敘述下這次的過程

?進(jìn)內(nèi)網(wǎng)?本地host綁定blog,blog爆破拿websell進(jìn)入內(nèi)網(wǎng)-> 內(nèi)網(wǎng)*** 掃描192.168.1網(wǎng)段發(fā)現(xiàn)ElasticSearch的代碼執(zhí)行, 在這個ElasticSearch的機(jī)器上在配置文件發(fā)現(xiàn)zabbix的服務(wù)端,->轉(zhuǎn)戰(zhàn)zabbix的機(jī)器，訪問管理頁面發(fā)現(xiàn)存在注入,拿到了數(shù)據(jù)庫的賬戶密碼,且數(shù)據(jù)庫的密碼是blog的那臺服務(wù)器ssh->跨網(wǎng)段?通過zabbix機(jī)器發(fā)現(xiàn)內(nèi)網(wǎng)其他網(wǎng)段的ip地址,并可達(dá),查看配置文件發(fā)現(xiàn)內(nèi)網(wǎng)dns->確定目標(biāo) 掃描zabbix的網(wǎng)段訪問20段某個內(nèi)網(wǎng)ip跳轉(zhuǎn)的主站,猜測是目標(biāo),更加確定，過zabbix發(fā)現(xiàn)內(nèi)網(wǎng)的dns 發(fā)現(xiàn)域傳送 發(fā)現(xiàn)目標(biāo)主機(jī)。

? 由于工作原因,不能寫太過于詳細(xì),要是有什么問題,或者疑問直接留言給我就行了。

轉(zhuǎn)載于:https://blog.51cto.com/0x007/1628943

總結(jié)

以上是生活随笔為你收集整理的对某公司一次***测试的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。