记一次fastjson反序列化到内网靶标

news2024/12/27 1:30:14

声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。

点点关注不迷路,每周不定时持续分享各种干货。

众亦信安,中意你啊!
在这里插入图片描述

背景


某天接到公司的hvv通知,怀着忐忑的心情去请教先前去过的大佬,不出意外的意外没有收获(存档)。没办法硬着头皮上,最终摸了几个靶标,以下记录其中一个(全靠运气)。
在这里插入图片描述

入口点发现


在对所给目标的域名,ip的c段等收集后发现了几个弱口令未授权,不能止步于此啊,于是继续搜索通过该公司下属单位发现了一个x云平台,存在fastjson反序列化,直接用插件自带的链子打成功了。
在这里插入图片描述很快啊,反弹拿到shell后,草草写了个计划任务维持权限。(熟悉的同学应该知道我这里使用的是啥工具反弹)
在这里插入图片描述frp一上,流量代理到vps,寻找内外网同时部署的系统,ping同网段或不同A/B/C段(存在的网段)突破逻辑隔离,拿到1k分数。
在这里插入图片描述
内网信息收集&横向


不用犹豫,fscan扫一波收获不错有x台ssh,x个web系统,x个数据库的弱口令(其中包含了靶标系统,当时没注意)
在这里插入图片描述信息收集差不多了,习惯性的先看数据库,已拿数据分数为主,几个数据库下来找敏感信息眼睛都看花了,时间还花一大截,敏感数据分只拿了1.5k。(原谅我这里的厚马)

这里顺便请教一下各位大佬有啥快速的方法能够定位数据库中是否存在敏感数据如姓名、身份证等。
在这里插入图片描述在这里插入图片描述数据库看完了接下来就看服务器权限,这里比较枯燥,验证fscan扫出来的弱口令截图,数据库加ssh服务器权限分数1k。(这里太分散就不放图了,全是linux服务器没一台windos)

接下来就是看收集的web系统,从几十个web系统中发现,同一个ip下部署了10几个系统,回头一看服务器权限在手上,部署在docker容器下。

一个个系统尝试,果然内网弱口令yyds,后面和裁判掰扯一下web系统+docker服务器权限分数给了1.5k。(部分截图)
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述其中还有各种未授权前前后后,算一起1k分数(部分截图)

在这里插入图片描述在这里插入图片描述
成功拿下靶标系统


一天时间都快过完了,整理了下思绪总感觉这个内网还差点东西,分数也没刷满。看了看目标的靶标系统,有好几个平台,其中渣土两个字特别亮眼,脑袋里面好像闪过这内网几十个web系统中有个渣土平台,当时只是简单的账密测试,没有深入。
在这里插入图片描述手工尝试登录几次失败后,又想到数据库中各种表里面翻账密无果,又看了看js啥也没有,好在这系统验证码可复用那就存在爆破风险了,然后又用先前能够登录内网其它web系统的口令简单组成了一个密码本尝试爆破,可想而知还是失败。

在这里插入图片描述靶标近在咫尺,看的人心痒痒。(肝)

翻了下工具,找到不知什么时候保存的密码生成器,结合之前挖洞的经验输入单位简称+特殊字符+年份,生成了个小字典。(有些单位名称很长可以取简写,一般3-5位,特殊符合可以 . @ ! 等,当然可以多加但是字典体积就增大了,年份一般写当年或者前后一年。)

在这里插入图片描述运气、运气、运气三连
在这里插入图片描述激动的心颤抖的手,截图的手速你没有(体会过没及时截图的惨痛教训)

果然靶标系统不一般啊,可实时查看在线渣土车监控数据,下发报警短信等操作。

在这里插入图片描述在这里插入图片描述
PS:结合前后发现的漏洞+内网报告,最后也是成功拿到了8.5k分数(总分1w),江湖不是ddss,而是rqsg。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/447378.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

多种方法解决This is usually caused by another repository pushing to the same ref的错误

文章目录 1. 复现错误2. 分析错误3. 解决错误4. 解决该错误的其他方法 1. 复现错误 今天使用git status查看文件状态,发现有一个文件未提交,如下代码所示: D:\project\test>git status On branch master Your branch is up to date with …

sftp常用命令介绍

sftp常用命令: 1. sftp 登录sftp服务器 sftp userip ​​​​​​ 如需要看全部命令:则使用help即可 2. pwd和lpwd 、 ls和lls 、cd和lcd 等 sftp登录之后默认操作是远程服务器,当需要操作本地时,就需要在前边加“l”&#…

【wpf踩坑日记】搞错了,眼睛问题(:))

背景 今天遇到一个草鸡奇葩的问题: ComboBox 选择时 没有触发绑定的属性的set。 其实看错了,Mode写出OneWay,应该是TowWay。 不然是会触发set的。兄弟们不用往下看了。。。。。 哎,有的时候就会碰到这种情况,我还…

Ubuntu上跑通PaddleOCR

书接上文。刚才说到我已经在NUC8里灌上了Windows Server 2019。接下来也顺利的启用了Hyper-V角色并装好了一台Ubuntu 22.04 LTS 的虚机。由于自从上回在树莓派上跑通了Paddle-Lite-Demo之后想再研究一下PaddleOCR但进展不顺,因此决定先不折腾了,还是从x6…

python常见问题总结

对于长期深耕在python爬虫的程序员来说,如何快速解决代码中的问题它是作为合格的程序员应该具备的基本素质。下面将我总结整理出有关python的一些常见问题记录下来方便后期查证。 Python python 没有多态,而是鸭子类型 多继承,没有接口&…

【操作系统】CPU 缓存一致性

【操作系统】CPU 缓存一致性、MESI 协议 参考资料: CPU缓存一致性协议(MESI) 【JUC】Java并发机制的底层实现原理 CPU 缓存一致性 文章目录 【操作系统】CPU 缓存一致性、MESI 协议CPU Cache 的数据写入写直达写回 缓存一致性问题总线嗅探MESI 协议总结 CPU Cache …

springboot:缓存不止redis,学会使用本地缓存ehcache

0. 引言 随着redis的普及,更多的同学对redis分布式缓存更加熟悉,但在一些实际场景中,其实并不需要用到redis,使用更加简单的本地缓存即可实现我们的缓存需求。 今天,我们一起来看看本地缓存组件ehcache 1. ehcache简…

python+vue 市政工程资源互助平台的设计与实现

该系统将由用户系统,管理员系统两部分组成。用户有个人和vip两种类型。 用户模块包括登录注册功能,登录字段包括用户名,密码,用户身份以及验证码。注册包括用户名,密码,邮箱,电话号码&#xff0…

vite+vue+element-plus完成一个admin管理后台

整体项目的 访问链接:https://bigmiss.top/demo/index.html 用到的技术整理 名称版本安装命令说明vite4.0.0npm init vitelatest构建Vue项目vue3.2.45npm install vuenext渐进式框架(在vite已安装)element-plus3.7.5npm install element-plu…

C#调用C++封装的SDK库(dll动态库)——下

C#调用C封装的SDK库(dll动态库)——下 一、说明 上一篇我们相当于封装的是C语言风格的动态dll库,供C#来调用的。 C#调用C封装的SDK库(dll动态库)——上 如果我们要封装的是下面的类呢?我们该怎么办?大家先思考下。 class Calculation { p…

Tomcat常用操作

Tomcat时间长不用,居然不会用了,这里用的Tomcat9.0.74,对应的jdk版本是jdk8与jdk11。 先看他的把Tomcat安装上去:Tomcat9的安装 运行与关闭Tomcat winr输入cmd。在运行窗口输入startup.bat,回车,启动Tom…

Java基础:对象的克隆(复制)

假如想复制一个简单变量。很简单: int apples 5; int pears apples; 不仅int类型,其它七种原始数据类型(boolean,char,byte,short,float,double.long)同样适用于该类情况。 但是如果你复制的是一个对象,情况就复杂了。 假设说我是一个b…

webpack----开发服务器

文章目录 devServer抽取csscss的兼容性压缩cssjs语法检查js的兼容性 devServer 每次编辑源码后,都要webpack重新打包,才能看到效果,麻烦!使用webpack-dev-server 自动打包编译源码配置 // webpack.config.js ... mode: "de…

shell中的for循环和if判断

一.编写脚本for1.sh,使用for循环创建20账户,账户名前缀由用户从键盘输入,账户初始密码由用户输入,例如: test1、test2、test3、.....、 test10 1.创建脚本for1.sh [rootserver ~]# vim for1.sh 2.编写脚本for1.sh 3.执行脚本for1.sh [roo…

linux命令----- mkdir与rmdir

创建与删除目录 一 mkdir1.mkdir 目录名2.mkdir -p 目录一/目录二 二 rmdir1.rmdir 目录名2.删除非空目录时失败3. rmkdir -p 目录1/目录2 一 mkdir mkdir是make directories的缩写,主要用于linux中创建目录 创建的目录不能和同级目录中已经存在的目录重名可以mkd…

【产品经理】系统上线自查清单

产品上线之前的准备工作,看起来简单,实际做起来是非常繁杂的,如果没有尽早考虑和准备,可能会手忙脚乱甚至导致产品延迟上线。 产品上线前的准备工作听起来简单,但实际做起来非常繁杂。除了要考虑用户需求、商业需求外&…

计算广告(十八)

营销组合模型 MMM 分析背景 随着媒体类型和销售渠道的不断变化,客户旅程日益复杂化。单一活动层面的优化已无法满足客户需求。为了应对这一挑战,品牌方需在战略和活动层面构建完整的营销视图,优化各营销渠道间的效率并实现最高投资回报率。…

【BIM+GIS】ArcGIS Pro3.0打开多种格式三维模型案例教程

本文讲解在ArcGIS Pro3.0打开BIM模型(.rvt)、倾斜模型OSGB、Sketchup(.skp)、3d max(.3ds)、点云数据(.las)的方法及注意事项。 文章目录 一、ArcGIS Pro打开BIM(.rvt)二、ArcGIS Pro打开倾斜OSGB三、ArcGIS Pro打开Sketchup(.skp)四、ArcGIS Pro打开3d max(.3ds)…

C++ [模板]

本文已收录至《C语言》专栏! 作者:ARMCSKGT 目录 前言 正文 泛型编程 问题引入 泛型 函数模板 概念 格式 使用方式 模板原理 模板的实例化 隐式实例化 显示实例化 模板匹配规则 类模板 类模板定义格式 类模板的实例化 非类型模板参数 …

【13 Listener 学习笔记】

Listener 笔记记录 1. Listener监听器2. 监听对象的监听器2.1 ServletContetListener2.2 HttpSessionListener2.3 ServletRequestListener 3. 监听域对象属性变化的监听器3.1 ServletContextAttributeListener3.2 HttpSessionAttributeListener3.3 ServletRequestAttributeList…