聲明：本文僅限學(xué)習(xí)研究討論，切忌做非法亂紀之事

Web打點

滲透測試中，Web端最常見的問題大多出現(xiàn)在弱口令、文件上傳、未授權(quán)、任意文件讀取、反序列化、模版漏洞等方面。因此，我們著重圍繞這些方面進行滲透。

1.弱口令

先介紹一些好用的字典：

https://github.com/fuzz-security/SuperWordlist https://github.com/gh0stkey/Web-Fuzzing-Box

首先將收集到的所有登錄頁面（url.txt）使用腳本進行爆破，我這里使用的是WebCrack腳本，在web_crack_log.txt可以直接看到有驗證碼的地址是哪些，然后我們在選擇其他工具進行爆破。

私信回復(fù)“資料”獲取滲透學(xué)習(xí)思路大綱與學(xué)習(xí)資料【點擊查看】

本次運氣還不錯，找到了四個弱口令：

2.文件上傳

常見的文件上傳漏洞類型：

通過剛才爆破出來的其中一個弱口令登錄到后臺，發(fā)現(xiàn)了上傳點并且成功上傳：


但是這個只是一臺獨立的服務(wù)器，并沒有進入到內(nèi)網(wǎng)，接著往下看。

3.任意文件讀取

通過jsfinder爬取了大量的路徑，然后通過字典爆破到了一個任意文件讀取。

但是由于是低權(quán)限，所以沒有繼續(xù)測試。

4.springboot未授權(quán)漏洞

找到個springboot未授權(quán)漏洞。按照正常思路，訪問 Web 應(yīng)用的 /actuator/env 或 /env，如果有返回 json 格式的數(shù)據(jù)，則可能存在漏洞。但是此環(huán)境下，這個路徑可能被刪除了：

于是我們嘗試讀取配置文件，看看能不能找到有用的東西。

訪問/autoconfig后，發(fā)現(xiàn)了某云的Accesskey：

使用工具成功登錄：

但是登錄后發(fā)現(xiàn)是個空的服務(wù)器，所以還得繼續(xù)找口子。

順便總結(jié)下Spring Boot Actuator常用的路徑：



5.Java-RMI反序列化

利用這個漏洞前，我先簡單介紹下Java-RMI。

Java RMI服務(wù)是遠程方法調(diào)用（Remote Method Invocation），它是一種機制，能夠讓在某個Java虛擬機上的對象調(diào)用另一個Java虛擬機的對象的方法。

在Java Web中，很多地方都會用到RMI來相互調(diào)用。比如很多大型組織都會在后臺部署一些Java應(yīng)用，用于對外網(wǎng)站發(fā)布更新的靜態(tài)頁面，而這種發(fā)布命令的下達使用的就是這種RMI形式。

值得注意的是，RMI傳輸過程必然會使用序列化和反序列化，如果RMI服務(wù)端端口對外開發(fā)，并且服務(wù)端使用了像Apache Commons Collections這種庫，那么會導(dǎo)致遠程命令執(zhí)行。

我們找到的這個服務(wù)恰好端口對外開放，并且使用了Apache Commons Collections的有漏洞的版本，所以成功執(zhí)行命令：

通過此漏洞，終于成功打進內(nèi)網(wǎng)，通過發(fā)現(xiàn)192.168.0.0/16網(wǎng)段和172.16.0.0/16網(wǎng)段：

內(nèi)網(wǎng)滲透

【點擊查看學(xué)習(xí)資料】

通過Java-RMI反序列化終于打進了內(nèi)網(wǎng)。接下來進行內(nèi)網(wǎng)滲透測試，下圖是此次內(nèi)網(wǎng)滲透的流程圖：

第一步，192.168.0.0/16網(wǎng)段和172.16.0.0/16網(wǎng)段的未授權(quán)通過使用frp代理出來流量后，使用fscan進行信息收集：

發(fā)現(xiàn)多個未授權(quán)訪問：

第二步，192.168.0.0/16網(wǎng)段和172.16.0.0/16網(wǎng)段的弱口令：

第三步，Jboss反序列化漏洞，發(fā)現(xiàn)了Jboss的網(wǎng)站：

成功上傳shell：

發(fā)現(xiàn)是低權(quán)限后上傳CS碼，提權(quán)成功，然后將流量代理出來：

發(fā)現(xiàn)了“10”段：

通過配置文件，發(fā)現(xiàn)了數(shù)據(jù)庫的密碼：

成功連接數(shù)據(jù)庫：

第四步，CVE-2020-1472拿域控。

通過net time /d找到域控：

測試發(fā)現(xiàn)有zerologon漏洞：

然后收集了“10”段的信息：

至此整個滲透過程結(jié)束。簡單回顧一下：

總結(jié)

由于是滲透測試項目，本著能多測就多測的原則，對多個系統(tǒng)歷年來出現(xiàn)的漏洞逐一進行了測試。

根據(jù)測試的結(jié)果來看，雖然很多企業(yè)已經(jīng)對網(wǎng)絡(luò)安全足夠重視，但正如周總所言，世界上只有不努力的黑客，沒有攻不破的系統(tǒng)。在安全這個行業(yè)，我們?nèi)匀沃囟肋h。

總結(jié)

以上是生活随笔為你收集整理的一次完整的渗透测试仅供学习研究的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。