针对某 C/S 架构系统的渗透测试

地球胖头鱼 2021-01-16
系统与内网安全 发布于 2021-01-16 10:00:27 阅读 179 评论 0

前言

本文主要记录了某次金融类客户项目中遇到的一个C/S架构系统的渗透测试,多个漏洞组合最终导致的内网沦陷。

前期准备

首先打开目标站点

默认页面无任何交互点,使用dirsearch进行简单扫描发现存在/config目录

访问后发现可直接列目录

图片

换用更强大的目录字典之后,扫描出了一个配置界面config.jsp

图片

通过网上搜索这个系统的相关手册得知系统默认用户名为:系统管理员 密码为:12345

尝试登录发现默认密码已经修改,通过Burp挂载somd5top10w字典爆破无果

目前在Web端暂时没发现什么问题,把注意力回到他的Index页面上,页面下方写了需要运行ActiveX控件,将浏览器调整至兼容模式,安装控件后弹出了客户端安装界面

下载安装完成后,运行客户端以后发现系统默认已经显示了用户号和用户名称等信息

尝试了默认密码12345以及其他常见弱口令均无果,尝试修改用户号为admin发现系统会自动帮我删除掉,怀疑用户号只能为纯数字

这个时候有意的事情就来了,当我尝试输入123、12345等用户号的时候,系统依旧会自动帮我删除输入的内容,但是在输入01、02、9999等用户号的时候,下面会有信息显示

看到这个我的第一反应是想到了以前在学校期间研究过的X方教务管理系统,某些版本的X方系统是内置了数据库账号密码在程序里,程序直接与数据库交互的,想到这赶紧下载个Cain嗅探一下看看

然而很遗憾,Cain并没有嗅探到数据库信息,那么尝试安装Proxifier,将客户端的流量代理到Burp康康

配置好Proxifier,将流量全部转发出去,然后Burp查看抓到的包

从Burp抓到的包来看,SQL语句是加密传输的,但是翻了几个包以后,忽然发现有个XML的请求,直觉告诉我这里很有可能存在XXE

SSRF

尝试将上面Burp抓到的XML请求的包内容进行修改,指向自己的服务器

果然存在XXE,但是测试了命令执行,文件读取等,均无法实现,只能当作SSRF进行简单的内容探测

OD调试

还是回到客户端上,客户端虽然加密传输了SQL语句,但是在程序运行的时候,内部肯定还是要解密成明文来校验的,那么可以尝试使用ollydbg来调试程序,从程序运行过程中读取到他解密后的内容

最终通过OD抓取到了系统管理员的密码,也成功登陆到了Web端的配置界面,在Web界面里可以看到使用的是SQLServer数据库,但是数据库是内网地址,密码可以通过F12直接查看到

Quake搜索

但是问题来了,数据库是内网,目前所拥有的洞并不足以链接到数据库,去反编译程序找加密算法又有点麻烦,回头看了眼Dirsearch的扫描结果,其中有login相关的接口,但是这个客户端明明只和servlet接口通讯,那么这套系统肯定还存在一个登陆接口,到Index页提取特征,使用Quake搜索互联网上的其他这台系统,还真找找不少

图片

  通过对互联网上其他这类系统的手工测试,果然发现存在一个login.jsp的登陆界面

图片

  在Web登陆界面中,输入用户编码0000,Web页面也会直接返回用户姓名

图片

  使用Burp抓包,将地址改为目标IP,发现目标果然只是删除了登录页,但是接口还在

图片

  直接在code字段打上标识,SQLMAP一把梭!

图片

  很舒服,SQLServer2008的数据库,DBA权限,堆叠查询,测试了下,目标只能DNS出网,CS配置DNS,直接上线!

图片

  内网简单的探测了下,因为客户没有授权,所以没有继续深入

图片

总结

  在这次渗透测试中,目标客户端虽然使用了加密传输,但是客户端本身未做反调试,可以通过Od直接附加进程。

  客户服务器虽然限制了正常的出网,但是未对DNS协议进行限制,导致了CS使用DNS协议直接上线。

  在Quake寻找互联网类似系统进行测试找SQL注入纯粹是因为我对逆向还不是很熟。

  如果是换成其他对逆向比较熟悉的师傅,完全可以做到逆向客户端找到加密算法,来实现SQL命令任意执行。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章209
  • 作者收获粉丝7
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量4.6 万(每日更新)
查看所有博文