江苏龙网

  1. 首页 > 人文 > >

「极速聊科技」针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试( 二 )


site:*.subx.target.tldANDintext:"one_of_password_pattern_value_here"
竟然真的有所发现!从中我发现了目标公司内部域名和服务端相关的大量密码凭据和内部IP地址等信息 , 尽管它们需要从内网才能访问或利用 , 但也算有所发现 。
「极速聊科技」针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试
文章图片
通过调整搜索关键字 , 如已知的IP地址、产品应用"
到此 , 我们就获得了目标Web应用系统的一个控制shell:
「极速聊科技」针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试
文章图片
通过运行reverse.py , 我们就能无障碍地去连接目标Web应用系统中的数据库或其它运行服务了:
「极速聊科技」针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试
文章图片
内部系统探测
这里我们获得的RCE , 一个有利因素就是该服务器位于目标公司的内部网络中 , 当在上述交互webshell是去ping一些目标公司的公开系统时 , 返回响应中得到的是一些内部IP地址 。 也就是说 , 我们在这个全球知名大型信息通信技术公司的内部网络系统中实现了据点潜伏 。 之前阶段我们收集获得的大量内部网络信息 , 在这里就可派上用场了 。 但是 , 为了不造成严重影响破坏 , 不能再深入了 , 就点到为止吧 。
最终 , 尽管发现的该漏洞不在众测范围之内 , 但确实是一次奇妙的渗透之旅 。 能以信息收集、目标分析和线索映证测试的方式 , 从知名信通公司的外部网络中打到内部系统 , 并实现RCE , 已经非常不简单了 。 就像我们白帽平时开玩笑说的“要在漏洞测试中发现RCE漏洞 , 简单就是天方夜谭” 。 之后我及时上报了该漏洞 , 并收到目标公司的快速响应 。
连接内部Crowd应用数据库
上述因为目标公司部署有AtlassianCrowd应用的系统存在漏洞 , 导致了最终我的RCE 。 那或许有人会问 , 能不能尝试登录其它的AtlassianCrowd应用或相关数据库呢?
我们也来看看 。 经测试发现 , 为配合AtlassianCrowd的使用 , 目标公司在该服务器上也安装了Atlassian协同办公组件Confluence , 而我对AtlassianCrowd和AtlassianConfluence的协同工作机制根本不懂 , 但我在netstat命令下观察到了数据库连接 , 所以我想其中肯定涉及到一些密码信息的存储 。 经过对AtlassianConfluence的研究分析 , 我发现其密码信息存储在/confluence.cfg.xml文件中 。
「极速聊科技」针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试
文章图片
就这样 , 利用其中的密码信息 , 我成功登录到了其相关数据库:
登录了上述Crowd数据库之后 , 我就在想能不能把这个登录密码进行修改 , 换成我们自己的呢?我觉得应该是可行的 , 因为Atlassian在官方文档里有密码替换更改的说明 , 在如下介绍中 , 我们可以用哈希过的字符串去替换管理员原来的密码 。
「极速聊科技」针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试
文章图片
由于这是一个漏洞测试项目 , 因为没有密码修改授权 , 所以我们不能擅自进行这种密码替换更改 。 但如果在真实的攻击场景下 , 攻击者完全可以实现这种操作 , 对系统造成影响 。 那如果不能修改替换密码 , 我们可以选择创建一个新账户的方法来测试 。 经过查找发现 , 只要知道管理员账号密码 , 就可以通过REST请求方式来创建AtlassianCrowd的新账户:
上述操作的请求格式如下:
curl-i-XPOSThttp://subdomain.target.com/crowd/rest/usermanagement/latest/user?username=your_new_user_here-H"Content-type:application/json"-H"Accept:application/json"-ucrowd_administrator_username_here:crowd_administrator_password_here-d"


推荐阅读


上一篇:#极速聊科技#提交的节目过审了却搜不到?来看看这些苹果播客中国区的审核规则吧

下一篇:小蜗牛tech:plus+极边全面屏,值得捡漏的4G手机:最保值机型+骁龙855