京东11.11大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 7838|回复: 0

记一次内部系统渗透测试:小漏洞组合拳

[复制链接]

8

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-9-17 21:11:11 | 显示全部楼层 |阅读模式 来自 中国
前言
- l0 S- O9 B( z" t6 E5 F9 d
/ x- B- I; F; R4 U4 z& l2 F[color=#333333 !important]这篇文章主要说的是我在这次内部测试的任务中,如何一步步获取应用系统最高权限,总的来说,是各种小漏洞的组合拳。因是内部系统,所以打码稍微严重些。- M' P7 L$ ?  Q! F2 m9 Q
正文1 X) `  a! E" C) b: }

; ~; n# d, M( H( x1 E[color=#333333 !important]在兴(suo)致(ran)盎(wu)然(wei)的某一工作日,突然接到领导的指示,要对内部的运维平台进行渗透测试。" J" V8 D  @1 T
[color=#333333 !important]
& s7 q" C6 K0 b
[color=#333333 !important]在收到消息的第二天,我精(wan)神(ban)抖(wu)擞(nai)的开始了我的工作。要到测试地址后,我一看,卧槽,果然不出所料,只有一个登陆框。1 z2 o! N9 C% v  G% x& {. h# M# ^7 i! ]
[color=#333333 !important]4 D! a( L( q+ H5 f; }
[color=#333333 !important]对于这种系统,我在心里告诉自己,不要慌,办法总比困难多,随便找两个低危漏洞交差了事,并且又想到,这是生产系统,全国几十个分公司都实时在用,可不能搞瘫痪了,最终我说服自己不扫描、不测影响业务的漏洞,这样一想,我心里立马更坚定了只找两个低位漏洞交差的想法。我果然是聪敏人!!
, ?+ |& E1 F+ I' _0 @4 K' @# c开始9 j& w' a6 }+ V9 ^, s
: \! }# d# l+ A
[color=#333333 !important]好的,接下来我就简单的收集了些信息0 {# n+ R9 e# p
[color=#333333 !important]首先用google插件wapplyzer,查看了当前系统的信息
2 O& v5 ~. i+ J& o, }+ K( D
[color=#333333 !important]
2 L/ o. u2 ?6 F9 [1 ]
[color=#333333 !important]为了不被防火墙拉黑,nmap简单的跑了一下,就是探测一些常见的端口,看看管理员有没有部署一些用于测试的垃圾站。。。。结果可想而知。0 ?; Y% o- G6 R+ K0 y4 b6 v
[color=#333333 !important]

+ R1 p; r# B5 r/ P1 k! L, k[color=#333333 !important]还跑过系统目录,钟馗也看了下等等,没什么有用信息,就不贴图了。
. L, }' V; ~# d[color=#333333 !important]看来确实要对主站完全手工了,只能打开神器burp分析数据包,尽量挖一些逻辑上的漏洞。1 g# f3 \* v1 f5 D+ l5 t6 Z4 y* L
[color=#333333 !important]我看了登录框,没验证码,首先想到的肯定是对admin账号先爆破一波。然而:当我输入几次登录信息后,发现用户名密码错误提示是一样的,且有5次错误锁定策略,那肯定就不能直接进行爆破了。
! v" E1 N; g& l[color=#333333 !important]
# y/ l- H, X- {& Q* `[color=#333333 !important]接着看网页源码也没什么有用信息,但看包竟然是明文传输的,这种情况下,采用单次撞库是最合适的手段。7 t- |$ S* a( j! J1 P) u6 r
[color=#333333 !important]
  d0 p8 ?9 e% `; v/ d0 z
[color=#333333 !important]接下来就是祭出burp,抓包,撞库,用topname10000进行撞库,幸好没用tonname500,要不然可能就凉了
% a: W) G7 R( p( E; U
[color=#333333 !important]

- E, a. H# ~8 T  `. m1 N[color=#333333 !important]运气不错啊,一万里面总算还有两个成功的,看来后台的弱口令总是会有漏网之鱼。
1 U( y/ V* O; _. M- e+ h2 P6 r[color=#333333 !important]到这,我觉得我的工作已经算是超额了,可以交差了。但想着将要面对领导那慈祥的眼神,我只能瑟瑟发抖的再接着往下测。% }5 f: u! i2 ~4 @7 t
[color=#333333 !important]登录wu**这个账号到系统里面,发现这个账号权限很低,不行,满足不了自己的需求,再尝试登录另一个账号,苍天有眼,竟然有新建账号的权限,看来是个当官的了。。。
' T( S% o/ U4 s( ^% m" o' I
[color=#333333 !important]
) @3 p4 f! p6 G3 _1 N+ @+ f
[color=#333333 !important]接下来就是对账号新建功能一系列的尝试,过程就略了。。。。只说结果。3 @8 e3 ?2 \8 V. k. a6 }
[color=#333333 !important]在新建账号发现在选择角色处,某一个角色权限竟然比自己使用的账号的权限还要高,果断就建了一个账号systemtest。
3 N( x# z7 @, U5 J[color=#333333 !important], B' H+ I" u( _$ g6 ]+ ^* f# B
[color=#333333 !important]然后再登录systemtest发现,有更多的模块,而其中一项竟然是角色管理,而这个角色管理可以新建一个角色,并且新建角色尽然可以选择拥有所有模块的权限,以我的作风,那必须立马盘它。2 v, j/ [0 F3 i/ E) p+ K5 E: x
[color=#333333 !important]1 {. D+ l) \  H# Q
[color=#333333 !important]到此,感觉到浑身充满了力量,这么容易就拿下了最高权限?迫不及待的我立马新建了一个角色,一个账号systemtest2,登录。。。( K; N$ W, B7 ~% R
[color=#333333 !important]
+ l3 ^" V7 R/ Y# Z; S9 d[color=#333333 !important]噗。。看到这画面,我就蒙了,现实果然给了我一个狠狠的耳刮子,这个权限竟然只有某一个分公司的最高权限,而不是系统总部的最高权限,这可不行,都到这了,一定要拿下总部的最高权限。
( V# u* ~% t- b% k[color=#333333 !important]接着,我又开始目的性很强的功能分析与寻找,其实就是胡乱点击,过程就略了…..最终我在查看用户信息的时候发现,发现一个很有特色的参数,而这个参数很像用户的ID值
' @: E8 @2 q/ I6 u. f. N[color=#333333 !important]
$ V+ b+ F$ {& U2 N8 j[color=#333333 !important]以我的聪(cai)明(shu)才(xue)智(qian)立马感觉这参数有戏,果不其然,我一访问,就感觉发现了新大陆一样
+ L6 t" O/ ?) ][color=#333333 !important]0 K- G" [  f8 v) e3 t3 J% [9 l' \
[color=#333333 !important]遍历340这个值,就可以直接修改个人信息啊。然后我经过测试,顺利的发现了admin账号的信息
; w7 \, k- {/ M[color=#333333 !important]6 b' U! u$ s( O: o- j$ I. n  _
[color=#333333 !important]到了这一步,我就要举一反三了,既然可以修改用户信息,那是不是也可以越权修改用户密码呢?带着这个疑问,我直接到修改个人密码功能的地方,果然可以越权访问修改密码的URL。。: ~  k1 L1 _* k$ R3 K7 l& |7 z
[color=#333333 !important]
9 [* I& \) g3 ~( ?5 R4 R; H[color=#333333 !important]接下来就是要必须解决旧密码的问题,只能去尝试是否可以绕过,没办法,只有抓包分析了。- o, r) ]4 B: J. k, x7 q
[color=#333333 !important]咦。。。当我在输入旧密码后,准备输入新密码时,系统竟然会先对旧密码进行判定,我就在想这很可能可以绕过旧密码验证2 i6 v. Y! m; j/ p4 ~* J! J
[color=#333333 !important]+ x, o9 t# C) T! s4 T1 {4 {9 f. j3 B
[color=#333333 !important]我马上进行了抓包,果不其然,判定条件就以true/false来判定的,到了这,我感觉我要成功了,有点开始飘了,看来可以交差了。我把response结果改为true,长度改为4,果然成功绕过了验证。哈哈….
6 x7 x' g) y. F# M[color=#333333 !important]
  f) @6 l. M: f% }[color=#333333 !important]那接下来就一切顺利了,修改了admin密码,并成功登陆,看到了所有分公司的数据。。。。。。。
" b+ g8 P! j; o9 ~[color=#333333 !important]
9 I9 x$ j# K8 ~7 \[color=#333333 !important]至此,就一切结束了,可以交差了。
* V, J1 s9 e& M: s5 T[color=#333333 !important]测试的工作嘛,到这就结束了,至于拿shell,后渗透这些什么的,就再慢慢弄算了。。先把报告除了再说。) T% `6 S; F3 z3 z: G
结语
& g5 S* z! o1 j' f9 y0 x- J1 r6 }+ t6 ?' g+ Y9 b5 n2 j
[color=#333333 !important]拿下系统的最高权限并不是仅仅单靠某一漏洞,而是靠的各种小漏洞的组合拳,首先是明文传输,这就有了撞库的机会,然后是有弱口令,撞库才会成功,然后功能设计上也有缺陷,低权限的账号怎么能新建高权限的账号呢?设计者这就应该挨板子了,再然后才有越权访问admin信息,再有原密码的绕过,这一系列小漏洞单独来说不严重,但一旦结合起来,就出现了很严重的安全事件,在进行安全防护工作时,应尽量考虑周全,任何一个弱点都可能成为黑客的突破口。+ N% @& e- B& E$ C7 [) a5 e) R$ u
[color=#333333 !important]*本文原创作者:jin16879,本文属FreeBuf原创奖励计划,未经许可禁止转载
/ q' P. h8 b8 v8 t
& }0 [5 E7 F" N' n8 T' ^
精彩推荐* J0 v' c7 \* P
) B8 I/ V3 q* n, g

* C  s2 Z" e, d: f$ X9 Z
- r) X6 K* Y+ S/ X$ T- H1 Y$ q7 v

9 O% ~' n3 S. K& M( t, A# B; Z" b
+ Q" g4 S* {' a9 ?+ v
- q; g2 ?! W1 ^0 `
来源:http://mp.weixin.qq.com/s?src=11&timestamp=1568725204&ver=1858&signature=DxJVEBSwOthYKl*uBSD3zgNSK1sAzJafqmvmUeqFNMujmJXWZUpUnY2b*l2RcPqdf52-nadXzBAqh*TwTm1cLX-AomPN2watgbpYzoHVMxp4P1Ax7M*5F3kLSuq5mFjP&new=1
7 G( D% i+ h+ {! G4 |9 l# W4 e免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /6 下一条

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )

GMT+8, 2025-2-25 04:24 , Processed in 0.038445 second(s), 26 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表