主页 > 网络知识 > 针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试(4)

针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试(4)

然后,用之前的RCE shell使目标Web应用执行脚本reverse.py。但是,这还不算真正意义上的交互shell,如果把它设置为伪终端方式就更好了,所以,可以在终端窗口中执行以下python命令实现脚本的伪终端显示:

python -c 'import pty;pty.spawn("/bin/bash")'

到此,我们就获得了目标Web应用系统的一个控制shell:

 

针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试

 

 

针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试

 

通过运行reverse.py,我们就能无障碍地去连接目标Web应用系统中的数据库或其它运行服务了:

 

针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试

 

内部系统探测

这里我们获得的RCE,一个有利因素就是该服务器位于目标公司的内部网络中,当在上述交互webshell是去ping一些目标公司的公开系统时,返回响应中得到的是一些内部IP地址。也就是说,我们在这个全球知名大型信息通信技术公司的内部网络系统中实现了据点潜伏。之前阶段我们收集获得的大量内部网络信息,在这里就可派上用场了。但是,为了不造成严重影响破坏,不能再深入了,就点到为止吧。

声明:以上主要展示前期信息收集对后期渗透测试的重要性,最终说明问题即可收手,另外这些测试都是在允许授权之内开展的。

最终,尽管发现的该漏洞不在众测范围之内(out-scope),但确实是一次奇妙的渗透之旅。能以信息收集、目标分析和线索映证测试的方式,从知名信通公司的外部网络中打到内部系统,并实现RCE,已经非常不简单了。就像我们白帽平时开玩笑说的“要在漏洞测试中发现RCE漏洞,简单就是天方夜谭”。之后我及时上报了该漏洞,并收到目标公司的快速响应。

 

针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试

 

 

针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试

 

连接内部Crowd应用数据库

上述因为目标公司部署有Atlassian Crowd应用的系统存在漏洞,导致了最终我的RCE。那或许有人会问,能不能尝试登录其它的Atlassian Crowd应用或相关数据库呢?

我们也来看看。经测试发现,为配合Atlassian Crowd的使用,目标公司在该服务器上也安装了Atlassian协同办公组件Confluence,而我对Atlassian Crowd和Atlassian Confluence的协同工作机制根本不懂,但我在netstat命令下观察到了数据库连接,所以我想其中肯定涉及到一些密码信息的存储。经过对Atlassian Confluence的研究分析,我发现其密码信息存储在<confluence_home>/confluence.cfg.xml文件中。

 

针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试

 

使用locate命令,我在目标系统中发现了confluence.cfg.xml文件,更高兴的是,其中的密码信息完全是明文:

 

针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试

 

就这样,利用其中的密码信息,我成功登录到了其相关数据库:

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!