设为首页收藏本站
切换到宽版

电脑疯子技术论坛|电脑极客社区

 找回密码
 注册

QQ登录

只需一步,快速开始

电脑疯子技术论坛|电脑极客社区»技术论坛 电脑疯子|资源分享 电脑教程分享 渗透测试之记一次内网漫游实例
返回列表 发新帖

[WEB前端技术] 渗透测试之记一次内网漫游实例

[复制链接]
zhaorong 发表于 2021-6-4 11:01:02 | 显示全部楼层 |阅读模式
本帖最后由 zhaorong 于 2021-6-4 11:02 编辑

介绍:渗透测试的本质还是信息收集。

0x00 前言

前段时间有个朋友发我一个管理系统 说让我帮忙测试下是否有能登录到后台 于是针对该系统开始进行信息收集。

QQ截图20210604104029.png

0x01 信息收集

1.1 对目标域名进行信息收集(其实没什么用)

目标域名接有CDN节点 一开始无法获取真实的IP地址,然后通过censys.io查询https证书 查到了另外一个
域名xxx.top,通过xxx.top获取到了域名后真实的IP地址(47.xx.xx.xx)。

1.2 Github信息收集

朋友说信息收集的时候可以去github上搜集下信息试试 没准能有意想不到的收获
于是就去试了下找到了一个邮箱账户:

QQ截图20210604104202.png

下面有服务器地址 测试了下mail.xxx.com,是腾讯企业邮登录口free@xxx.com虽然是个低权限账号 但是也成功登录了
上面还是有一些邮件没删除 也找到了一些有用的信息,比如他们的企业邮换系统了 还有老的威PN客户端和连接方式等
还得知了他们新邮件系统的默认密码是他们上网账号的密码。

256.png

1000.png

得到了新的企业邮地址(mail.xxx-xx.com)然后就去新的企业邮上测试了下这俩账号一个都登不上去
然后这条路暂时就走不通了,继续去github上翻信息。
翻信息的过程中发现了github用户xxx的一个项目learn_xxx中有很多关于该公司的信息
于是把这个项目拉到本地 审计一下。

1.3 learn_xxx项目审计

对项目进行审计该项目中有多个子项目大部分为内网使用项目 审计过程中发现
该公司的公网LDAP服务器地址。

999.png

1.4 ldap服务器信息收集

经过探测 该ldap服务器存在匿名访问 无需密码即可访问 去网上找了个图形化
工具jxplorer填上基底(DN)即可访问:

100.png

99.png

将收集到的密码直接贴到cmd5.com 可以解密

98.png

获取到密码以后 即可登录该用户在公司内部所有系统 例如邮箱 威PN等关键系统。

1.5 企业邮信息收集

在新的企业邮用收集到的账号密码登录

97.png

搜索关键词:passwd/password/usernmae/user/威PN/密码

然后再就是查看通讯录 有了ldap之后查看通讯录主要是为了确定相关项目组成员都
是谁然后去翻查项目组成员的邮箱

收集到的信息如下:

1、四台服务器的ip地址 端口和密码

在其中一台服务器上 找到了五条mysql的连接记录 格式是:
mysql -h***.mysql.rds.aliyuncs.com -udb_name -p'*****'

2、威PN的客户端压缩包
3、威PN的密码
4、elk的用户名和密码

0x02 进入内网

既然已经有了威PN和密码 那当然是要接入内网了 安装open威PN客户端 然后从邮箱里找到了open威PN的配置
文件一开始使用邮箱里搜集到的密码无效,然后就测试了下LDAP的账号和密码 登录成功了 成功接入内网。

QQ截图20210604105116.png

运维配置平台

http://192.168.10.98:8080
(运维配置平台弱口令admin admin)
在运维配置平台中 只能看到部分服务器信息 还是无法登陆服务器 但是在某个功能
的报错信息中泄露了外网的zabbix的密码:

96.png

初期在内网无法确定目标机器在内网的名称是啥 因为他们内部两千多台服务器和很多项目 而且命名
都不一样但是获取到了这个zabbix之后,通过搜索passport关键字确定到了他们内部对主机的命名
是HT_PassPort_NG_02和HT_PassPort_NG_TOMCAT_01:

92.png

堡垒机

获取到主机名以后 就可以继续去查找目标主机的信息了 刚才在扫c段的过程中 还发现了堡垒机
堡垒机同样也有弱口令 可以直接登录:
堡垒机弱口令:http://192.168.10.136 admin admin
在堡垒机中确定了下之前搜集到的主机名确实能跟目标系统的IP对上。

91.png

堡垒机平台有个web端的ssh连接界面 可以免密连接 先将目标主机添加到admin可控的
主机里然后推送用户 就可以直接登录了。

90.png

在目标机中我们寻找数据库连接信息 因为我们最终的目标是要登录后台 也就是我们要找到数据库中的后台
用户名和密码我们在目标机器中查找到目标系统的代码文件夹然后去查看配置文件 发现数据库连接方式 除
了地址 用户名和密码全部被加密,而且不能解密:

89.png

0x03 峰回路转

由于目标机器的数据库账号密码无法解密 本来以为到此结束了本无法解密的话 就没办法继续下去但仔细一看他的
数据库名字 在某台外网服务器上收集到的数据库连接语句中  有相关数据库的连接账号密码再次登录外网服务器链
接shop_db数据库,找到管理员表,查找到管理员用户名和密码 测试passport.xxx.com,登录成功。

66.png

0x04 总结

渗透测试的本质还是信息收集 有的时候多维度的信息收集进行组合挖掘 可以得到一些意想不到的收获。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|VIP|电脑疯子技术论坛 ( Computer madman team )

GMT+8, 2025-2-2 20:33

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表