一年一度的大型攻(连)防(续)演(通)练(宵)活动今年又要上演了,不知道各位防守队的小心脏是不是又提到了嗓子眼了呢。
今天小编整理了一个最近我司的实际案例分享给大家,是一个小问题造成重大后果的案例。
本次的演练线索只给出了企业名称,需要根据这一条线索进行攻击。下面我们简单看下重要攻击过程。
●信息收集●
首先根据企业名称去查询相应的网络资产信息。
找到了一个门户网站,还有两个对外开放网址,但是看了一下,名称和企业名称对不上的感觉,别搞出个乌龙就啪啪打脸了,还是先从门户开始吧,这个还是靠谱的。先上个岁数大的工具-御剑,看看有没有收获吧。
果然没有让我失望,居然发现了2个可以访问的后台地址,他们是为了远程办公开放的吗?这个先不管了,打开看看再说,2个需要身份认证而且没有图形验证码,都是用户名密码的登录方式。
简单尝试了一下,一个提示给出了明确提示用户名错误,另一个采用的模糊提示,用户名或密码错误,针对明确提示的站点进行了几次尝试,发现没有图片验证码弹出的情况,这时可以采用暴力猜解用户名和密码了,试了几个常用的管理员用户名,admin,administrator,root,发现administrator时,提示的是密码错误。这时基本判定该用户时存在的。开始尝试破解密码。
●工具破解●
上工具:
配置参数,用户名为administrator,密码设置为变量。
导入密码字典:
开跑。泡杯茶,等结果.....
按响应长度倒序查看一下,一条明显异于其他长度的RESPONSE出现了。
赶紧查看一下payload。居然是qweasd(看着是不是很长)。
好的登录一下试试,输入administrator和qweasd,登录成功,先开心一下。然后就先点点看,有哪些信息吧。发现了一个新闻发布编辑的页面(应该是门户网站的后管系统),然后有个编辑器。右键查看一下源代码,FCKEditor出现在JS中,操作一下,抓个包看一下。
基本稳了。打开默认上传页面看看有没有,一般有2个默认的上传页面,test.html和uploadtest.html。
先试试这个地址
…/fckeditor/editor/filemanager/upload/test.html
果然好用,先传一个测试一下,连文件上传位置都没变,在UserFiles下。
访问看一下,没问题,直接传大马。
上传成功之后显示文件在/UserFiles/目录下
打开大马,输入用户名密码链接大马,getshell成功。
先执行个查看系统用户的命令看一下,OK了,任务完成,把过程整理成报告就可以交差了,打完收工。
●小结●
此次攻击过程很顺利。
突破点1
发现可爆破的后管系统;
突破点2
弱口令;
突破点3
使用了带有漏洞的组件。
其实这三点完全可以避免的。抛开后管地址能不能放到公网不说。即使放到公网,只要身份认证做的严谨一样可以有效避免被简单利用而攻破。关于登录场景我们之前发布过一篇短信登录场景的文章,我们的EOC产品完全可以在设计阶段就可以规避弱口令的问题。最后不要忘记,一定要常态化的进行软件成分的安全分析,避免含有高危漏洞的组件随着系统一起上线呀。
最后祝各位演(通)练(宵)顺利!
END
预览时标签不可点收录于合集#个上一篇下一篇