网站如何做点击链接,flash网址,南昌做网站优化,山东建设厅科技处网站免责声明#xff1a;文章来源于真实渗透测试#xff0c;已获得授权#xff0c;且关键信息已经打码处理#xff0c;请勿利用文章内的相关技术从事非法测试#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失#xff0c;均由使用者本…免责声明文章来源于真实渗透测试已获得授权且关键信息已经打码处理请勿利用文章内的相关技术从事非法测试由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失均由使用者本人负责所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、信息收集
1.站点是一个正常的80端口开放的http服务使用nginx进行搭建对其目录进行了扫描没有得到什么能利用的信息 2.类似的站点通常会开放22或3389来进行远程维护通过扫描端口发现了一些意外收获
该服务器开放了大量的端口其中不止有3306、6379这种数据库服务端口、3389远程rdp端口、还存在大量http服务端口注意到其中存在8848可能存在nacos系统 3.通过测试大部分开放HTTP服务的端口下都没有网站不过也是有收获加上刚开始看到的主站共有四个登录框其中Seata分布式事务服务系统存在弱口令直接就登陆进去了 Seata-Serverseata/seata 可惜登录进去后什么信息也没有之前没了解过这个系统搜索了一下好像没有什么能利用的 4.还有另外两个站点对象存储系统和一个类似令牌存储的站点尝试弱口令均没有成功 minio服务器minioadmin/minioadmin 4.之前说发现了开放了8848端口的使用字典进行扫描果然发现存在nacos系统并且通过字典扫描目录未授权获取了nacos的密码 未授权访问地址 /nacos/v1/auth/users?pageNo1pageSize1 可获取已经注册过的账号和加密后的密码 二、实战环节
1.直接利用nacos漏洞扫描工具进行漏洞扫描发现其版本为2.0.3且存在多个版本漏洞 漏洞名称: Nacos token.secret.key默认配置(QVD-2023-6271) 漏洞描述: 开源服务管理平台 Nacos 中存在身份认证绕过漏洞在默认配置下未对 token.secret.key 进行修改导致远程攻击者可以绕过密钥认证进入后台造成系统受控等后果。漏洞影响版本: 0.1.0 Nacos 2.2.0 漏洞名称: Nacos User-Agent权限绕过CVE-2021-29441 漏洞描述: 该漏洞发生在nacos在进行认证授权操作时会判断请求的user-agent是否为”Nacos-Server”如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单并且将协商好的user-agent设置为Nacos-Server直接硬编码在了代码里导致了漏洞的出现。 漏洞影响版本: Nacos 2.0.0-ALPHA.1 漏洞名称: Nacos Derby SQL注入漏洞 (CNVD-2020-67618) 漏洞描述: config server中有个接口没有做任何的鉴权即可执行sql语句可以泄漏全部数据 漏洞影响版本: 与Nacos版本无关,看是否使用了内置的Derby数据库 漏洞修复方案: 对接口接口鉴权, 修改 nacos的application.properties配置文件nacos.core.auth.enabledtrue开启服务身份识别功能 2.利用权限绕过漏洞创建test用户登录nacos系统查看系统配置注意退出后清除该用户 3.两个反序列化漏洞都需要手动测试在测试后竟然发现该服务器存在Nacos Jraft Hessian反序列化漏洞注入内存马后执行命令直接回显了Administrator权限 漏洞名称: Nacos Jraft Hessian反序列化漏洞(QVD-2023-13065) 漏洞描述: nacos默认的7848端口是用来处理集群模式下raft协议的通信该端口的服务在处理部分jraft请求的时候使用hessian传输协议进行反序列化过滤不严导致RCE 漏洞影响版本: 1.4.0 Nacos 1.4.6 和 2.0.0 Nacos 2.2.3 4.直接上webshell管理工具我比较习惯用哥斯拉利用注入的内存马进行上线 注意需要设置请求头哥斯拉的设置为 x-client-data: godzilla Referer: https://www.google.com/ 成功上线利用命令查看服务进程分析后发现好像只有windows自带的杀软 tasklist /svc 查看所有正在运行的进程及其服务信息 5.上线fscan对内网服务进行扫描扫描后发现内网只有服务器一个地址但是扫描出来了redis未授权访问 6.还是老套路直接注入suo5内存马做正向代理访问redis数据库 成功连接redis服务器其中存放着主站的账号密码ID等信息经过测试后发现mysql数据库已经不再使用了无法渗透 6.到了这个时候其实已经拿下这个站点了获得了所有的信息但是想到最初扫描的端口目的就是为了拿到远程连接而且已经获得了管理员用户权限完全可以创建一个新用户进行远程RDP登录但是想尝试一下能不能获取管理员用户的密码随即上传mimikatz尝试获取系统中账户的密码
通过命令查看当前服务器用户账户信息发现服务器中存在多个用户 net users 列出所有用户账户 mimikazt使用命令读取密码信息获取Administrator等多个用户密码 mimikatz.exe privilege::debug token::elevate sekurlsa::logonpasswords lsadump::sam exit privilege::debug提升进程的权限到 DEBUG 级别这通常是为了获取对系统进程更多的控制权包括读取其他进程的内存空间。 token::elevate提升当前访问令牌的权限这通常用于绕过用户账户控制 (UAC) 或获取更高权限的操作。 sekurlsa::logonpasswords尝试从本地安全机构子系统服务 (LSASS) 进程中提取当前登录用户的密码信息。 lsadump::sam从本地 SAM (Security Account Manager) 数据库中转储用户账户信息包括密码哈希。 exit退出 Mimikatz。 webshell并不能做到真正的交互式回显所以需要连起来一行执行命令mimikatz是提供这种执行命令的方法同样也能交互式输出 7.利用Administrator用户账户/密码成功登录菠菜网站服务器 三、总结 成功拿下了菠菜网站的服务器进行了远程桌面连接通过最后登录和公网IP的查找也发现该服务器是一台云主机 感觉这次渗透一切都太顺利服务器完全不设防历史漏洞也没有修复没什么技术含量主要是对各种工具的使用各位大佬当爽文看就行希望以后大家做渗透测试的时候也都能碰到这样的站点
