用户
搜索
  • TA的每日心情
    擦汗
    2018-6-26 14:01
  • 签到天数: 17 天

    连续签到: 2 天

    [LV.4]经常看看II

    管理员

    知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多

    Rank: 9Rank: 9Rank: 9

    31

    主题

    291

    帖子

    464

    魔法币
    收听
    0
    粉丝
    59
    注册时间
    2016-4-17

    秦i春秋签约作者

    Vulkey_Chen 管理员 知识面,决定看到的攻击面 秦 i春秋签约作者 楼主
    发表于 2018-6-21 01:09:29 2618544

    前言

    本文总结一下漫长的渗透测试过程,想尽了各种方法,终于找到了突破口。so没有绝对的安全,所谓的安全性其实都是相对的~

    信息踩点

    在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。

    信息难点:

    传输加密:

    要做渗透的目标是一个APP,根据抓到的请求包发现这个APP是经过某产品加固过的,所以HTTP的POST请求正文部分(Data)是神奇的密文~

    分析难点

    分析:

    • 信息踩点其实也是解决难点的过程,在这里我们尝试对APP进行逆向,发现并没有什么东西,因为被加固了。
    • 对APP进行功能的整理,逐个功能点进行抓包分析:
      • 请求正文(data)虽然是密文,但是请求的URI还是真正按照对应的功能去请求的(参考URI的命名和功能的相对应性)

    建立设想(A):

    在这里请教了师傅,说可能GET请求参数并没有经过加密,而后台很有可能是这样写的:

    <?php
    $mstsec = $_REQUEST['vulkey'];//注意这里使用的是$_REQUEST 默认情况下包含了 $_GET,$_POST 和 $_COOKIE 的数组。
    ?>
    • 一点即通,首先我可以去测试是否是真的这样的后端处理接收。
    • 为了满足第一步的验证,我需要想办法找到一个GET请求的包并且有带有GET参数,这样我才能判断规则,不然就是大海捞针。

    有价值的东西

    其实对APP做渗透测试,大部分情况下还是对网站做渗透测试。

    所以在这里抓包获取到的HOST,直接对其进行了前期的常规信息刺探(端口、目录、指纹...)

    中间件:Tomcat

    目录开放:/fileUpload/

    端口开放:8001 1444

    APP三个功能点:个人用户、资金管理、生活栏目

    渗透开端

    一开始粗略的对整个APP进行抓包,然后做一些简单的测试,发现并没有那种明面上的漏洞(SQL注入、XSS等等...),但是获取了这几条URI:

    1. /userCenter/getUser [获取用户信息URI POST]
    2. /userCenter/pay/getSign?userSign= [获取Sign POST]
    3. /userCenter/life/showShop?pId= [获取商品信息 GET]
    4. /userCenter/showQRcode [获取二维码图片 POST]

    不小心日偏

    仔细的对每个功能点进行测试的时候,抓到了一些"逃出加固命运"的明文报文。

    • 发现了S2-005这个历史悠久的Struts2框架远程代码执行问题:

    执行了whoami

    • 发现了SQL注入,这里需要做一些简单的绕过(e.g. AandND 1 like 1):

    然而没看清楚,一下次给日错地方了...很尴尬。

    关联分析

    日偏后我分析了一下两者的特征,发现应该出自同一个程序员之手,并且这个程序员很喜欢使用驼峰命名法...

    验证设想(A)

    在这里我尝试根据每个URI功能点生成GET请求参数的dict:

    • /userCenter/getUser [获取用户信息URI POST]

      dict: [uId, userId, uName, userName ...]

    • /userCenter/showQRcode [获取二维码图片 POST]

      dict: [uId, userId, uName, userName, imagePath, filePath, codePath, fileName ...]

    生成请求:

    GET /userCenter/getUser?uId=10001
    GET /userCenter/getUser?userId=10001
    GET /userCenter/getUser?uName=test001
    GET /userCenter/getUser?userName=test001
    ...
    GET /userCenter/showQRcode?uId=10001
    GET /userCenter/showQRcode?userId=10001
    GET /userCenter/showQRcode?uName=test001
    GET /userCenter/showQRcode?userName=test001
    GET /userCenter/showQRcode?imagePath=../../index.do
    GET /userCenter/showQRcode?filePath=../../index.do
    GET /userCenter/showQRcode?codePath=../../index.do
    GET /userCenter/showQRcode?fileName=../../index.do
    ...

    结论

    现实残酷,打败了设想。

    绝处逢生

    就在想放弃的时候,决定打算"垂死挣扎"一下,重新开始"审视"了各个功能模块,眼光又转到了这个二维码地方。(因为二维码的"皮相",所以很多人都会忽略它)

    这里我去解析了二维码的地址:

    失算...失算...,当去访问这个地址的时候,响应报文中会多出这样的头:

    ...
    Set-Cookie: USESSIONPID=xxx;
    ...
    
    jpg content

    这时候我就知道是时候修改uId了,然而修改了没用,根据多年的经验(吹牛)我认为是uSign参数起了作用,这时候对uSign进行删除发现不行,会提示uSign参数不存在,当我置空这个参数,发现居然成功了又返回了用户的Cookie凭证...好吧,说明这里有一个逻辑问题...

    到这下去就很简单了,获取管理员权限有上传点,测试使用jhtml的后缀可以直接绕过上传,但是上传上去之后,直接访问就给你download下来了(很多次遇到这种问题...)

    好吧,管理员也没啥能危害到服务器的东西了...不过回过头再来看看,二维码这个点还没啃完呢,fileName这个参数还没去测试,fuzzdb了解一下,先怼lfi的字典进去跑(有个坑这里一定要填写完整[uId, uSign]),然后再进行Fuzz:

    intruder模块(BurpSuite)的测试结果发现这里是可以读取文件的,并且判断这个web服务是root权限运行的因为我修改fileName参数的值为../../../etc/shadow时我直接可以获取到文件的内容,从而获取root账号权限的密码:

    (解密不了),怎么通过这个本地文件读取漏洞拿到shell?我的思路是通过读取tomcat的密码配置文件然后进入tomcat的Web管理部署war包进行getwebshell,但是这里做了一圈的目录猜解,死活没找到tomcat的应用目录...

    读取/root/.bash_history啊(这个文件是记录root用户输入过的命令-老师傅提醒到),突然间我茅塞顿开,是啊,一般运维人员会通过命令行进行管理,那么肯定会有目录出现啊。

    我修改fileName参数的值为../../../root/.bash_history,搜索下关键词tomcat就发现了:

    成功的发现了root用户的命令历史并且找到了Tomcat的应用安装路径,那么我只需要修改fileName的参数值为../../../../home/apache-tomcat-7.0.67/conf/tomcat-users.xml,直接就可以读取到Tomcat的管理员账号权限,从而直接通过外部访问的形式进入Tomcat的管理界面进行控制。

    登录进来之后直接到WAR file to deploy功能点,进行war包的部署(在这里使用压缩的方式将网站后门压缩成zip格式然后修改后缀名.zip为.war即可),点击Browser选择war包然后点击Deploy:

    这里部署上去之后回到Applications功能点,可以看到部署的情况,点击你的命名链接然后加上你压缩的文件名(这里我的是 /vulkey/vulkey.jsp)使用Webshell管理工具进行管理,看见了我久违的界面,久违的root权限:

    总结

    因为后渗透可能会影响正常业务的运行,所以没有继续进行下去,很遗憾,希望下次有机会。
    END:
    送给大家一句话:心细则挖天下。


    评分

    参与人数 2魔法币 +100 收起 理由
    大木瓜 + 50 膜拜key表哥 魔法币不多了都给表哥.
    天析 + 50 文章生动,配图精美,不错,好文章,赞了!.

    查看全部评分

    gh0stkey,米斯特安全团队核心。
    i春秋社区核心成员之一。
    关注米斯特安全团队(MstLab):www.hi-ourlife.com
    Vulkey_Chen 管理员 知识面,决定看到的攻击面 秦 i春秋签约作者
    推荐
    发表于 2018-6-21 11:47:55
    DDM668 发表于 2018-6-21 02:02
    楼主 您好 先怼lfi的字典,可否提供一下呢,这个字典是要判断有包含漏洞吗? ...

    github fuzzdb开源项目 一堆fuzz dict...
    gh0stkey,米斯特安全团队核心。
    i春秋社区核心成员之一。
    关注米斯特安全团队(MstLab):www.hi-ourlife.com
    使用道具 举报 回复
            dalao,一开头就用bp发现了s2-005,是scanner的功能,还是如何测的呀
    使用道具 举报 回复
    楼主 您好 先怼lfi的字典,可否提供一下呢,这个字典是要判断有包含漏洞吗?
    使用道具 举报 回复
    学习了,这类渗透还没开始学,先收藏着
    使用道具 举报 回复
    文章生动,配图精美,不错,好文章,赞了!!
    使用道具 举报 回复
    文章生动,配图精美,不错,好文章,赞了!!
    使用道具 举报 回复
    发表于 2018-6-21 08:45:08
    文章生动,配图精美,不错,好文章,赞了!!
    无聊的渣渣
    使用道具 举报 回复
    66666666666666666666666
    使用道具 举报 回复
    发表于 2018-6-21 07:42:20
    key师傅大腿还缺挂件吗?
    使用道具 举报 回复
    感谢大佬的分享
    使用道具 举报 回复
    发表于 2018-6-21 08:41:06
    首赞!Key师傅牛逼。
    当你凝望深渊时,你就不怕吗?
    使用道具 举报 回复
    发表于 2018-6-21 08:59:55
    只能说6的一笔。
    ***************
    你只是看到了眼前的
    而忽略了你没看到的
    ***************
    使用道具 举报 回复
    发表于 2018-6-21 10:29:04
    key表哥超级跟班
    皮一下很开心
    使用道具 举报 回复
    发表于 2018-6-21 10:48:36
    真的牛逼呀。逻辑完整。
    使用道具 举报 回复
    发表于 2018-6-21 11:04:10
    评论key师傅涨人气
    专注网络安全与程序开发,博客:https://blog.dyboy.cn
    使用道具 举报 回复
    发表于 2018-6-21 11:34:47

    感谢大佬的分享
    使用道具 举报 回复
    发表于 2018-6-21 11:41:28

    key师傅大腿还缺挂件吗?
    使用道具 举报 回复
    发表于 2018-6-21 16:17:56
    大佬厉害了~
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册