聲明：本文僅限學(xué)習(xí)研究討論，切忌做非法亂紀(jì)之事

Web打點(diǎn)

滲透測(cè)試中，Web端最常見(jiàn)的問(wèn)題大多出現(xiàn)在弱口令、文件上傳、未授權(quán)、任意文件讀取、反序列化、模版漏洞等方面。因此，我們著重圍繞這些方面進(jìn)行滲透。

1.弱口令

先介紹一些好用的字典：

https://github.com/fuzz-security/SuperWordlist https://github.com/gh0stkey/Web-Fuzzing-Box

首先將收集到的所有登錄頁(yè)面（url.txt）使用腳本進(jìn)行爆破，我這里使用的是WebCrack腳本，在web_crack_log.txt可以直接看到有驗(yàn)證碼的地址是哪些，然后我們?cè)谶x擇其他工具進(jìn)行爆破。

私信回復(fù)“資料”獲取滲透學(xué)習(xí)思路大綱與學(xué)習(xí)資料【點(diǎn)擊查看】

本次運(yùn)氣還不錯(cuò)，找到了四個(gè)弱口令：

2.文件上傳

常見(jiàn)的文件上傳漏洞類(lèi)型：

通過(guò)剛才爆破出來(lái)的其中一個(gè)弱口令登錄到后臺(tái)，發(fā)現(xiàn)了上傳點(diǎn)并且成功上傳：


但是這個(gè)只是一臺(tái)獨(dú)立的服務(wù)器，并沒(méi)有進(jìn)入到內(nèi)網(wǎng)，接著往下看。

3.任意文件讀取

通過(guò)jsfinder爬取了大量的路徑，然后通過(guò)字典爆破到了一個(gè)任意文件讀取。

但是由于是低權(quán)限，所以沒(méi)有繼續(xù)測(cè)試。

4.springboot未授權(quán)漏洞

找到個(gè)springboot未授權(quán)漏洞。按照正常思路，訪(fǎng)問(wèn) Web 應(yīng)用的 /actuator/env 或 /env，如果有返回 json 格式的數(shù)據(jù)，則可能存在漏洞。但是此環(huán)境下，這個(gè)路徑可能被刪除了：

于是我們嘗試讀取配置文件，看看能不能找到有用的東西。

訪(fǎng)問(wèn)/autoconfig后，發(fā)現(xiàn)了某云的Accesskey：

使用工具成功登錄：

但是登錄后發(fā)現(xiàn)是個(gè)空的服務(wù)器，所以還得繼續(xù)找口子。

順便總結(jié)下Spring Boot Actuator常用的路徑：



5.Java-RMI反序列化

利用這個(gè)漏洞前，我先簡(jiǎn)單介紹下Java-RMI。

Java RMI服務(wù)是遠(yuǎn)程方法調(diào)用（Remote Method Invocation），它是一種機(jī)制，能夠讓在某個(gè)Java虛擬機(jī)上的對(duì)象調(diào)用另一個(gè)Java虛擬機(jī)的對(duì)象的方法。

在Java Web中，很多地方都會(huì)用到RMI來(lái)相互調(diào)用。比如很多大型組織都會(huì)在后臺(tái)部署一些Java應(yīng)用，用于對(duì)外網(wǎng)站發(fā)布更新的靜態(tài)頁(yè)面，而這種發(fā)布命令的下達(dá)使用的就是這種RMI形式。

值得注意的是，RMI傳輸過(guò)程必然會(huì)使用序列化和反序列化，如果RMI服務(wù)端端口對(duì)外開(kāi)發(fā)，并且服務(wù)端使用了像Apache Commons Collections這種庫(kù)，那么會(huì)導(dǎo)致遠(yuǎn)程命令執(zhí)行。

我們找到的這個(gè)服務(wù)恰好端口對(duì)外開(kāi)放，并且使用了Apache Commons Collections的有漏洞的版本，所以成功執(zhí)行命令：

通過(guò)此漏洞，終于成功打進(jìn)內(nèi)網(wǎng)，通過(guò)發(fā)現(xiàn)192.168.0.0/16網(wǎng)段和172.16.0.0/16網(wǎng)段：

內(nèi)網(wǎng)滲透

【點(diǎn)擊查看學(xué)習(xí)資料】

通過(guò)Java-RMI反序列化終于打進(jìn)了內(nèi)網(wǎng)。接下來(lái)進(jìn)行內(nèi)網(wǎng)滲透測(cè)試，下圖是此次內(nèi)網(wǎng)滲透的流程圖：

第一步，192.168.0.0/16網(wǎng)段和172.16.0.0/16網(wǎng)段的未授權(quán)通過(guò)使用frp代理出來(lái)流量后，使用fscan進(jìn)行信息收集：

發(fā)現(xiàn)多個(gè)未授權(quán)訪(fǎng)問(wèn)：

第二步，192.168.0.0/16網(wǎng)段和172.16.0.0/16網(wǎng)段的弱口令：

第三步，Jboss反序列化漏洞，發(fā)現(xiàn)了Jboss的網(wǎng)站：

成功上傳shell：

發(fā)現(xiàn)是低權(quán)限后上傳CS碼，提權(quán)成功，然后將流量代理出來(lái)：

發(fā)現(xiàn)了“10”段：

通過(guò)配置文件，發(fā)現(xiàn)了數(shù)據(jù)庫(kù)的密碼：

成功連接數(shù)據(jù)庫(kù)：

第四步，CVE-2020-1472拿域控。

通過(guò)net time /d找到域控：

測(cè)試發(fā)現(xiàn)有zerologon漏洞：

然后收集了“10”段的信息：

至此整個(gè)滲透過(guò)程結(jié)束。簡(jiǎn)單回顧一下：

總結(jié)

由于是滲透測(cè)試項(xiàng)目，本著能多測(cè)就多測(cè)的原則，對(duì)多個(gè)系統(tǒng)歷年來(lái)出現(xiàn)的漏洞逐一進(jìn)行了測(cè)試。

根據(jù)測(cè)試的結(jié)果來(lái)看，雖然很多企業(yè)已經(jīng)對(duì)網(wǎng)絡(luò)安全足夠重視，但正如周總所言，世界上只有不努力的黑客，沒(méi)有攻不破的系統(tǒng)。在安全這個(gè)行業(yè)，我們?nèi)匀沃囟肋h(yuǎn)。

總結(jié)

以上是生活随笔為你收集整理的一次完整的渗透测试仅供学习研究的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。