网安 - 专业的网络安全产业、社区、知识平台

对学校系统开展的一次渗透实战

VSole2021-11-19 04:02:39

前言

此次渗透测试的过程简记:

信息收集 -> 通过获取的账号密码登录平台 -> 发现越权 -> 越权到admin用户 -> 通过任意文件上传getshell -> 获取服务器权限(终)

期间遇到waf, 绕waf,遇到安全狗过安全狗,同时感谢遇到问题时ChaBug的兄弟们提出的意见和帮助!

信息收集

渗透的本质=信息收集?随着实践的次数增多,慢慢发现信息收集的重要性,当掌握的信息越多,目标暴露的弱点也会越多,下一步进攻的突破口越明显。

浏览了目标的很多功能,没有发现可以操作的点,因此尝试登录以发现新的功能点寻找突破口。

该平台的默认账号密码为学号和身份证号后六位(也是大部分高校的惯性行为)。因此接下来就是收集学生的学号以及身份证号,学号比较好收集(谷歌语法一般都会找到很多),但是身份证号并不常见。但是我在另一个子域名的平台发现了两处不起眼的越权。

注: 目标网站是本人所在学校网站,且本人取得测试授权。虽然账号密码用自己的即可,但是作为一个攻击者,我就当从零开始。

直接访问该子域名的admin目录,发现可以越权访问,并在消费统计处查看到了大量学生学号等信息。接下来在此网站找到了第二处越权,可以查看任意学号/工号人员消费明细,且明细中包含身份证号码。(本来是觉着可以搞这个网站却发现后台其他功能报废了。前台点了点各个功能才发现了这个越权)

拿到所需信息,登录目标平台。

Bypass && Getshell

登录发现没有权限访问个人中心

普通学生用户只有发表留言的权限,调用的是简化魔改版ueditor编辑器,尝试了一下没有可利用漏洞。但是在抓包测试上传的时候仔细看了一下cookie,发现了有意思的东西。

在查看服务平台的相关管理人员回复的时候发现了账号为admin的回复。因此直接将参数值改为admin,直接成功越权到admin用户。

头像处可以上传,但是直接上传会被某waf拦截,不太清楚是什么waf,问了@X1r0z一嘴又忘记了。。总之可以绕过。



起初传了asp,发现访问返回404,好奇又传了php,结果也是404。最后发现只允许上传解析aspx文件 :)

登录远程服务器

已经是system权限了,肯定要登录到服务器看一眼,虽然没必要但是可以。

tasklist /svc

发现服务器3389没有开启,另外发现了360及安全狗进程。利用procdump+Mimikatz来读取windows明文密码。

由于prodump.exe是微软系统自带,有微软的签名证书,所以杀软不会拦截。# lsass.dmp保存至当前目录procdump64.exe -accepteula -ma lsass.exe lsass.dmp# 脱回本地,猕猴桃(mimikatz)读取明文密码sekurlsa::minidump lsass.dmpsekurlsa::logonpasswords


# windows 2008 开启3389wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

服务器在外网直接登录,结果发现:

折腾了半天还是不让我登录是吧,爷今天非要登录进去看一看!

开始我以为管理员在线,不能同时登录两个账号或者管理员把我踢了。后来@X1r0z提醒发现可能是安全狗的问题。将安全狗配置文件下载到本地查看,发现设置了白名单访问控制。

# 安全狗配置文件所在目录C:\Program Files\SafeDog\SafeDogServer\SafeDogGuardCenter\ProGuardData.iniC:\Program Files(x86)\SafeDog\SafeDogServer\SafeDogGuardCenter\ProGuardData.ini

虚拟机更改计算机为白名单内容项,登录。


单独的一台服务器没有内网,就到此为止了。

写在后面

那个不知道什么名字的waf,在最近测试其他目标的时候又遇到了,且可以bypass它的SQL注入防护。

# 经过测试发现在部分查询语句的时候拦截了substr 以及 or/and等。# 绕过(我测试的目标是盲注,其他的注入方式可以自测,好像防护规则有点弱智)?id=1' ^ (ascii(mid((select * from * ),1,1))>0)#

文章记录的渗透过程都是网络中已经存在的姿势,我只不过是在遇到的机会的同时实际运用了一下并记录在笔记。欢迎各位师傅指导交流,交个朋友~

admin
本作品采用《CC 协议》,转载必须注明作者和本文链接
CAP_SYS_ADMIN之利用notify-on-release进行容器逃逸
2023-06-25 13:55:00
当容器具有SYS_ADMIN的Capability的话,则可以进行容器逃逸。它允许大量的特权操作,包括
乌克兰国防系统账号:admin,密码:123456
2022-03-18 21:58:18
2017年12月,“乌克兰女性黑客运动”Berehynya在公开访问文件中张贴,包括来自乌克兰海军信息与心理行动中心的个人数据人员。2017年6月,黑客攻击了主要的俄罗斯和乌克兰公司,运行了病毒密码器Petya。
Gin-Vue-admin垂直越权漏洞挖掘与代码分析-CVE-2022-21660
2022-01-10 05:15:14
前 言 欢迎各位大佬们给该项目点一个star https://github.com/flipped-aurora/gin-vue-admin/
IT 管理员最爱用 admin 作为密码
2023-10-20 10:50:21
安全研究人员发现,IT 管理员广泛使用弱密码,其中包括 admin。网络安全公司 Outpost24 分析了恶意程序窃取的身份凭证,将其中的管理员账号挑选出来。他们共分析了 180 万个管理员凭证,发现其中使用 admin 的账号有 4 万个。
基于AD Event日志监测AdminSDHolder
2023-01-16 14:30:45
监测AdminSDHolder对象ACL的修改行为,从而发现可疑的修复AdminSDHolder对象行为。
不可思议 !乌克兰国防系统账号:admin,密码:123456
2022-03-01 09:45:24
2017年12月,“乌克兰女性黑客运动”Berehynya在公开访问文件中张贴,包括来自乌克兰海军信息与心理行动中心的个人数据人员。2017年6月,黑客攻击了主要的俄罗斯和乌克兰公司,运行了病毒密码器Petya。
IPC$共享和其他共享(C$、D$、Admin$)
2021-09-15 23:11:00
IPC$ (Internet Process Connection) 是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。
用开源管理系统做项目,到底有多爽!
2023-02-27 17:00:16
前端采用 D2Admin 、Vue。后端采用 Python 语言 Django 框架。权限认证使用 Jwt,支持多终端认证系统。整合最新技术,模块插件式开发,前后端分离,开箱即用。核心技术采用 Spring、MyBatis、Shiro 没有任何其它重度依赖。包括二次封装组件、utils、hooks、动态菜单、权限校验、按钮级别权限控制等功能。
Linux抓取Root明文密码
2021-10-24 08:30:58
在window下获取到administraot权限以后,使用mimikatz不管是抓取明文密码或是hash都很方便,但是在Linux就算获取到root权限了,获取hash倒是很简单cat一下就行,但是大概率很难解密出来。那么如何在Linux抓取root用户的明文密码,方面后续渗透呢?
VSole
网络安全专家