前言: d* d! f# j* s1 [ s
9 w2 d, T1 M! s; O. P[color=#333333 !important]这篇文章主要说的是我在这次内部测试的任务中,如何一步步获取应用系统最高权限,总的来说,是各种小漏洞的组合拳。因是内部系统,所以打码稍微严重些。
+ ?, v: x$ C8 i. S5 ?9 O4 \, v/ x正文: [. n! k+ c- E4 X' D+ c# S T
( Y: a4 X8 i0 `9 U3 S: H3 e7 I
[color=#333333 !important]在兴(suo)致(ran)盎(wu)然(wei)的某一工作日,突然接到领导的指示,要对内部的运维平台进行渗透测试。
4 y+ V2 R3 p% G6 F! R* r- M2 S[color=#333333 !important] 
2 i: X+ {& G' `[color=#333333 !important]在收到消息的第二天,我精(wan)神(ban)抖(wu)擞(nai)的开始了我的工作。要到测试地址后,我一看,卧槽,果然不出所料,只有一个登陆框。7 F' A j0 N, x8 K& s
[color=#333333 !important]
8 L3 q, @; f" o- y1 {[color=#333333 !important]对于这种系统,我在心里告诉自己,不要慌,办法总比困难多,随便找两个低危漏洞交差了事,并且又想到,这是生产系统,全国几十个分公司都实时在用,可不能搞瘫痪了,最终我说服自己不扫描、不测影响业务的漏洞,这样一想,我心里立马更坚定了只找两个低位漏洞交差的想法。我果然是聪敏人!!
- z% m# s9 P) p, _' A开始
% C( L' v; ~+ ^/ i; O. N4 p9 Z5 q- A! T; C
[color=#333333 !important]好的,接下来我就简单的收集了些信息 b! T9 l3 z# a& v" A% C5 `$ ?
[color=#333333 !important]首先用google插件wapplyzer,查看了当前系统的信息
1 R+ r% b1 V2 s[color=#333333 !important] 
+ Z m- s9 z5 K* K) Q2 e6 W6 P! o[color=#333333 !important]为了不被防火墙拉黑,nmap简单的跑了一下,就是探测一些常见的端口,看看管理员有没有部署一些用于测试的垃圾站。。。。结果可想而知。
: B5 k( R7 y3 b# S& i' E[color=#333333 !important] 
[color=#333333 !important]还跑过系统目录,钟馗也看了下等等,没什么有用信息,就不贴图了。; A2 _! ?" x4 `
[color=#333333 !important]看来确实要对主站完全手工了,只能打开神器burp分析数据包,尽量挖一些逻辑上的漏洞。4 Q9 P! F$ L6 [1 h
[color=#333333 !important]我看了登录框,没验证码,首先想到的肯定是对admin账号先爆破一波。然而:当我输入几次登录信息后,发现用户名密码错误提示是一样的,且有5次错误锁定策略,那肯定就不能直接进行爆破了。
- b- `( |2 k0 U% `! T[color=#333333 !important]
' u5 a. l, m7 |- ?3 S I3 \[color=#333333 !important]接着看网页源码也没什么有用信息,但看包竟然是明文传输的,这种情况下,采用单次撞库是最合适的手段。
: a! ~6 |: L+ h9 |8 c3 M0 v% u3 `[color=#333333 !important] 
( H7 |- B e9 c& g, b# G1 P% z[color=#333333 !important]接下来就是祭出burp,抓包,撞库,用topname10000进行撞库,幸好没用tonname500,要不然可能就凉了
9 ?8 a' g; l( n- h0 p7 e[color=#333333 !important] 
6 X0 q2 V: D9 @1 C* f% P F[color=#333333 !important]运气不错啊,一万里面总算还有两个成功的,看来后台的弱口令总是会有漏网之鱼。
- p0 }1 P) z6 j3 d1 c7 t' w[color=#333333 !important]到这,我觉得我的工作已经算是超额了,可以交差了。但想着将要面对领导那慈祥的眼神,我只能瑟瑟发抖的再接着往下测。. p7 C: s4 a% Q3 i
[color=#333333 !important]登录wu**这个账号到系统里面,发现这个账号权限很低,不行,满足不了自己的需求,再尝试登录另一个账号,苍天有眼,竟然有新建账号的权限,看来是个当官的了。。。6 Z7 N5 W$ w4 \. T, U
[color=#333333 !important] 
9 [, X" P; b, T# w[color=#333333 !important]接下来就是对账号新建功能一系列的尝试,过程就略了。。。。只说结果。) W! A; F- t5 S: B+ L' r7 u9 g4 W" ?
[color=#333333 !important]在新建账号发现在选择角色处,某一个角色权限竟然比自己使用的账号的权限还要高,果断就建了一个账号systemtest。
3 K5 @+ B. B7 H( c0 G[color=#333333 !important] 5 p+ k6 L5 |0 {" }7 F+ K
[color=#333333 !important]然后再登录systemtest发现,有更多的模块,而其中一项竟然是角色管理,而这个角色管理可以新建一个角色,并且新建角色尽然可以选择拥有所有模块的权限,以我的作风,那必须立马盘它。8 B6 z! M; A7 w5 Z5 M
[color=#333333 !important]
7 L) B: y) b& H$ a* Y[color=#333333 !important]到此,感觉到浑身充满了力量,这么容易就拿下了最高权限?迫不及待的我立马新建了一个角色,一个账号systemtest2,登录。。。
- U/ Y9 e- I8 P8 u[color=#333333 !important]
5 Q% ]( p8 k: ?% [& l6 S[color=#333333 !important]噗。。看到这画面,我就蒙了,现实果然给了我一个狠狠的耳刮子,这个权限竟然只有某一个分公司的最高权限,而不是系统总部的最高权限,这可不行,都到这了,一定要拿下总部的最高权限。' I9 s/ h! @; ] D& l8 @" ~ `
[color=#333333 !important]接着,我又开始目的性很强的功能分析与寻找,其实就是胡乱点击,过程就略了…..最终我在查看用户信息的时候发现,发现一个很有特色的参数,而这个参数很像用户的ID值0 k* M* F; j- A2 A
[color=#333333 !important]
; Y. {" J' a w+ E" x[color=#333333 !important]以我的聪(cai)明(shu)才(xue)智(qian)立马感觉这参数有戏,果不其然,我一访问,就感觉发现了新大陆一样
2 m5 v) Z" C6 e9 _9 U[color=#333333 !important]
3 R8 w$ R$ Q. B7 A: v# f3 Q[color=#333333 !important]遍历340这个值,就可以直接修改个人信息啊。然后我经过测试,顺利的发现了admin账号的信息
$ G c1 s+ _0 z( V" k* P) S1 a[color=#333333 !important] * x6 t6 w2 v; K9 p. e+ F8 m
[color=#333333 !important]到了这一步,我就要举一反三了,既然可以修改用户信息,那是不是也可以越权修改用户密码呢?带着这个疑问,我直接到修改个人密码功能的地方,果然可以越权访问修改密码的URL。。. w4 U4 u6 f# Y5 a
[color=#333333 !important] 8 [* g4 O) e; e* i" @1 t
[color=#333333 !important]接下来就是要必须解决旧密码的问题,只能去尝试是否可以绕过,没办法,只有抓包分析了。! [1 X) J! }, q, r
[color=#333333 !important]咦。。。当我在输入旧密码后,准备输入新密码时,系统竟然会先对旧密码进行判定,我就在想这很可能可以绕过旧密码验证 g1 K8 s. s! g1 \' q
[color=#333333 !important]
0 c* B# z' c, K5 a) s& g. k" p' H[color=#333333 !important]我马上进行了抓包,果不其然,判定条件就以true/false来判定的,到了这,我感觉我要成功了,有点开始飘了,看来可以交差了。我把response结果改为true,长度改为4,果然成功绕过了验证。哈哈….& O% ]8 c* `4 S4 d E
[color=#333333 !important] ! \* n' [! j- c; X, {8 @
[color=#333333 !important]那接下来就一切顺利了,修改了admin密码,并成功登陆,看到了所有分公司的数据。。。。。。。2 ]8 N4 L/ _- I
[color=#333333 !important]
+ A& t" F; f4 i7 D+ ^- K+ W3 {, M) L[color=#333333 !important]至此,就一切结束了,可以交差了。
( {0 m1 O0 _% u; f[color=#333333 !important]测试的工作嘛,到这就结束了,至于拿shell,后渗透这些什么的,就再慢慢弄算了。。先把报告除了再说。
# ]+ A$ J M: k9 v, {7 _( L, ~结语
$ G2 D: M4 \. G0 l! a5 C$ v8 z0 o6 K. d' x! e E; r
[color=#333333 !important]拿下系统的最高权限并不是仅仅单靠某一漏洞,而是靠的各种小漏洞的组合拳,首先是明文传输,这就有了撞库的机会,然后是有弱口令,撞库才会成功,然后功能设计上也有缺陷,低权限的账号怎么能新建高权限的账号呢?设计者这就应该挨板子了,再然后才有越权访问admin信息,再有原密码的绕过,这一系列小漏洞单独来说不严重,但一旦结合起来,就出现了很严重的安全事件,在进行安全防护工作时,应尽量考虑周全,任何一个弱点都可能成为黑客的突破口。
6 Y' f) ?6 }& p4 J# q! e[color=#333333 !important]*本文原创作者:jin16879,本文属FreeBuf原创奖励计划,未经许可禁止转载+ D& h& @# }+ V" H, q: W: @1 \! G
; \; B1 v- W) x, C5 _ @$ Y精彩推荐! b6 ]0 i3 J. B& S4 z# L
 $ s: e T: {7 r1 j) t; G
, a) _' y' f) S% L6 R: T( Y; e7 N
- U1 W) c3 }% f0 o. d2 {
' F) Y; ^( W' ~; ^# m1 C/ Q P/ _# P4 b Q0 k: H. n
?6 b. Y: Z+ t4 L9 Q来源:http://mp.weixin.qq.com/s?src=11×tamp=1568725204&ver=1858&signature=DxJVEBSwOthYKl*uBSD3zgNSK1sAzJafqmvmUeqFNMujmJXWZUpUnY2b*l2RcPqdf52-nadXzBAqh*TwTm1cLX-AomPN2watgbpYzoHVMxp4P1Ax7M*5F3kLSuq5mFjP&new=12 i' w" \- f2 ~1 x1 I/ z6 g9 M
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-17 21:11:11
