一:資訊收集階段
因為目標是學校,一般會去考慮收集學號,教工號。因為有的登陸點需要此類資訊,且密碼存在規律性(身份證後六位,123456)。
目標域名xxx。com
【檢視資料】
開始的時候,我是直接透過github搜尋是否存在敏感資訊洩露,運氣不賴,得到一個webvpn賬戶。語法:“。xxx。com password”
效果如下:
然後透過企查查,天眼查等平臺,查詢目標網站備案資訊,爆破了一下目標的子域名,儘可能收集的全面一些。在這裡,透過線上域名查詢的時候,出來很多子域名,但這些子域名點開之後,大多都跳轉到了目標主頁,利用價值不大。
所以我之後選擇藉助FOFA來繼續查詢,語法:domain=“xx。com”,發現存在一個oa系統,經檢測,屬於藍凌OA。
這裡就直接藉助工具測試了一下,成功拿到webshell。
許可權不是root,暫且放在這裡。選擇繼續用webvpn賬戶進行探測。
二:WEBVPN突破
前期收集到的webvpn賬戶還沒用,主頁存在一個vpn系統,點選之後跳轉到vpn。xx。com頁面。輸入賬號密碼,成功登入。
登入之後,點選點一個系統進行檢視,因為後臺掛著xray,檢測到了struts遠端程式碼執行,藉助工具進行驗證,驗證成功,可以執行系統命令。
選擇學工系統,利用剛剛爆破的賬號,同樣可以登入。學生資訊處,可以進行上傳,嘗試利用,利用失敗,但是在這裡發現了一個有意思的點。修改Content-Type的型別為text/html,可以造成彈窗。
不過這個系統還是有可以利用的地方,具體參考https://forum。butian。net/share/198
測試的時候,也挖掘到了一個sql注入。
這裡選擇了利用剛剛遠端程式碼執行的系統,進行深入,進行powershell上線cs,進行內網滲透,
代理出來,進行內網掃描,探測web服務,以及ms17010。這裡探測到一個web服務為雲桌面,猜測是學校機房,密碼很簡單,就是123456。
這裡存在一些桌面服務的密碼,F12,將type型別改為text,得到一串密碼。因為是雲桌面,根據經驗一般存在域機器,直接探測172。16。0。0/16,查詢主機名,發現域機器,這裡我使用了剛剛F12檢視到的密碼,進行登入,發現成功登入,smb成功上線。
因為是域控,可以直接控制學校某樓的機房遠端開機關機,並監視。
最後收尾的時候,發現圖書館存在注入,同樣是注入到表名,沒有更加深入了。
總結就是:資訊收集很重要,主要是暴露出來的OA和github搜尋到的敏感賬戶資訊,不然打進去不是這麼容易,有0day除外。
關注我,持續更新;
私我獲取
【
網路安全學習資料·攻略
】
