记一次地级市某行业专项攻防演练
0x00 前言
2022.8.X单位突然通知参与某行业专项攻防演练,本着学习的目的参与了一波,特此记录。
0x01 打点
获得目标单位名称
先通过爱企查、天眼查等工具查询目标及目标下属单位信息
可以利用工具:ENEScan_GO
接着就是信息收集三板斧
子域名、IP、端口
收集子域名:OneForAll(API要配置全一点)、Subfinder、FOFA、Hunter
收集IP:Eeyes、domain2ip
端口扫描:Goby、Nmap、Masscan
这里使用的是Goby全端口扫描,扫描速度堪忧,但优点是比较全面且展示效果较好。
端口扫描后筛出Web类与非Web类端口,便于精确打击。
Web类可以先统一进行指纹识别,优先攻击一些重点的框架系统 比如(Shiro、通达OA、用友NC等)
非web类可以筛出来进行服务爆破,一些特殊的端口可以优先摸一下试试,比如6379 Redis
0x02 获取突破口
一番操作之后,通过以上打点,得到了一个Shiro框架的系统,这个系统是访问路径后默认跳转到SSO平台进行登录的。想进入该系统,入口必须是走SSO平台登录验证后进入。但是经过手工口令测试,发现通过弱口令进SSO系统有点困难,战略性放弃。
先利用Shiro反序列化工具查看是否存在RCE漏洞。
这边给个建议,不同工具可能不一定能抛出Key和利用链,大家在进行测试的时候,手里尽量多换几个工具来测试,我这里换了三个工具才跑出Key和利用链,其他的工具就是跑不出(不是Key字典的问题,就是单纯跑不出。。。)
Linux机子,whoami Root权限,ping www.baidu.com 出网。
先用linux语句 根据网站的静态文件名称找一下目录地址
find / -name 404.jsp
直接到能访问的网站根目录下 wget我VPS上的JSP马,接着蚁剑连接。
翻了一下/webapps下,发现是3个系统+SSO系统
猜测只要经过SSO验证就可以访问其他的3个系统
接着开始翻配置文件
在路径 /webapps/xxx/WEB-INF/classes/ 下
发现一个dbconfig.properties文件,发现了MySQL与Redis的连接信息。(要打码的东西较多,我就不放了)
MySQL是阿里云的,不是内网本地的,看了一下,发现原来打的这台机子是云主机。
白高兴一场,想着下一步就连一下MysQL看看能不能登陆SSO 以及接着翻翻看看有什么文件还有泄露配置信息然后就收工了。
mysql连接后,看到了SSO的库,以及其他3个系统的库,但当务之急是先看看能否登录SSO
查看SSO表中的sso_pwd字段
发现是加密的。。。还不是普通的加密。(蚌埠住了。。)
0x03 柳暗花明
正当准备写报告收工时,一个名为 config.properties 的文件引起了我的注意。
点开查看了一下发现 what!!!
SSO加密的密钥对 以及 Aliyun的accesskeyID和Secret
起飞!
0x04 解密SSO密码
RSA加密、RSA解密 - 在线工具 - OKTools
密码竟然是随机生成的。。。这辈子都爆破不出来。。
登录SSO系统
接着通过数据库中的其他库的密码 进入3个系统,图片我就不放了(要打码的东西太多了。。。。)。
0x05 接管云平台
前几天才看到的TeamSix师傅的文章,今天正好有现成环境复现,美滋滋。我用 CF 打穿了他的云上内网 | T Wiki (teamssix.com)
CF工具地址:teamssix/cf: Cloud Exploitation Framework 云环境利用框架,方便红队人员在获得 AK 的后续工作 (github.com)
cf alibaba ls
查看云资源
1个bucket桶 + 2个OSS资源 + 1个ECS资源
cf alibaba console
添加后门用户接管阿里云控制台
访问控制中看到当前权限为:AdministratorAccess 意味着我们已经拿到了该租户的管理员权限
翻一下 OSS资源以及ECS资源
OSS:
ECS:
至此,完事,写报告,收工。
0x06 总结
复现了一波AK接管云平台,感觉收获良多,相信云安全这块以后也会成为攻防演练的突破口。
此外,这次的攻击路径有点太过顺利了,不管是发现Shiro框架还是翻配置文件找到RSA密钥对和AK配置信息,我一度以为是蜜罐。。。
番外:写报告的时候,和队友聊了一下,没想到这个站还是靶标。。。。只能说攻防演练,运气也是很重要的。。。。
记一次地级市某行业专项攻防演练相关推荐
- 地级市按行业划分的城镇单位就业人员
城镇单位就业人员指在各级国家机关.政党机关.社会团体及企业.事业单位中工作,取得工资或其他形式劳动报酬的人员.各个行业的城镇单位就业人员数据在一定程度上反映了城市的就业情况!之前我们基于历年的< ...
- 每日新闻丨2020年全国所有地级市覆盖5G网络;腾讯两个月推七款社交APP
▼ 趋势洞察 倪光南:RISC-V将和x86.ARM三分天下 2019国际芯片大会上,中国工程院院士倪光南表示,未来RISC-V很可能发展成为世界主流CPU之一,从而在CPU领域形成英特尔(x86). ...
- 分省市县地理空间矩阵:地级市空间、地理距离矩阵等多指标数据集
省.市.县三个层级地理空间矩阵 (1)地级市的空间距离/地理距离矩阵 1.数据来源:经纬度数据来源网站 2.时间跨度:采用2020年数据计算 3.区域范围:679个城市 4.指标说明: 首先通过pyt ...
- 地级市各产业从业人数数据集(1999-2018年)
数据集名称:地级市各产业从业人数数据集 时间范围:1999-2018年 数据来源:中国城市统计年鉴及中国.各省.地市统计年鉴 相关说明:包括地级市1999-2018年地级市城镇从业总数.第一二三产业从 ...
- 2022年版中国人工智能芯片行业专项调研及投资前景方向预测报告
2022年版中国人工智能芯片行业专项调研及投资前景方向预测报告 [报告编号]: 411983 [出版时间]: 2022年1月 [出版单位]: 中商经济研究网 第一章 人工智能芯片基本概述 第 ...
- 334个地级市名单_334个地级市的“基层”演出,李志说“如果我死了,得留下点什么”...
赵雷在2016年进行了13场"无法长大"体育馆巡演,好妹妹乐队在今年有10场体育场巡演.就在人们对李志未来的活动报以好奇时,李志的回应却出乎很多人意料.2016年5月,李志发布了& ...
- 334个地级市名单_334个地级市名单_334个地级市的“基层”演出,李志说“如果我死了,得留下点什么”......
赵雷在2016年进行了13场"无法长大"体育馆巡演,好妹妹乐队在今年有10场体育场巡演.就在人们对李志未来的活动报以好奇时,李志的回应却出乎很多人意料.2016年5月,李志发布了& ...
- 地级市空间距离矩阵、相邻0-1矩阵
(1)地级市的空间距离/地理距离矩阵 1.数据来源:经纬度数据来源网站:http://citycode.blacklife.cn/index.php 2.时间跨度:采用2020年数据计算 3.区域范围 ...
- 地级市学校数、教师数和学生数
学校数.专任教师数和在校学生数是评价城市公共服务水平的重要指标!之前我们基于历年的<中国城市统计年鉴>整理了1999-2020年的人口数量指标.人口变动指标.用地相关指标.污染物排放和环境 ...
最新文章
- MongoDB分布式原理以及read-preference和readConcern解决读写一致性问题
- PowerDesigner逆向工程从SqlServer数据库生成PDM(图文教程)
- Office 365 Exchange 2016 混合部署前准备
- SpringBoot测试时出现Whitelabel Error Page
- NGINX最新API管理模块已可用,针对内部和外部API进行了优化
- SAP CDS view 单元测试框架 Test Double 介绍
- python regex应用
- 浅尝JQ AJAX
- 模型类型与加速潜力的关系
- python入门——P34异常处理:你不可能总是对的2
- LINUX上安装SSH
- 【深度学习框架-torch】torch.norm函数详解用法
- suitecrm上传附件限制修改
- Premiere 初识PR
- 小程序软件有必要申请软件著作权登记么?
- Linux日文教程,Ubuntu日语、法语输入法的设置
- 英雄联盟无法开始第二局(已解决,亲测有效)
- 吕海楠201552216
- python 离群值_如何从Numpy数组中删除离群值
- 如何用百度离线API调用百度离线地图