介绍:渗透测试的本质还是信息收集。
0x00 前言
前段时间有个朋友发我一个管理系统,说让我帮忙测试下是否有能登录到后台,于是针对该系统开始进行信息收集。
本次测试已获得授权,小伙伴们不要乱搞哦~
0x01 信息收集
1.1 对目标域名进行信息收集(其实没什么用)
目标域名接有CDN
节点,一开始无法获取真实的IP
地址,然后通过censys.io
查询https
证书,查到了另外一个域名xxx.top
,通过xxx.top
获取到了域名后真实的IP
地址(47.xx.xx.xx
)。
1.2 Github信息收集
朋友说信息收集的时候可以去github
上搜集下信息试试,没准能有意想不到的收获,于是就去试了下,找到了一个邮箱账户:
下面有服务器地址,测试了下mail.xxx.com
,是腾讯企业邮登录口[email protected]
虽然是个低权限账号,但是也成功登录了,上面还是有一些邮件没删除,也找到了一些有用的信息,比如,他们的企业邮换系统了、还有老的威PN
客户端和连接方式等,还得知了他们新邮件系统的默认密码是他们上网账号的密码。
得到了新的企业邮地址(mail.xxx-xx.com
),然后就去新的企业邮上测试了下这俩账号,一个都登不上去,然后这条路暂时就走不通了,继续去github
上翻信息。
翻信息的过程中发现了github
用户xxx
的一个项目learn_xxx
中有很多关于该公司的信息,于是把这个项目拉到本地,审计一下。
1.3 learn_xxx项目审计
对项目进行审计,该项目中有多个子项目,大部分为内网使用项目,审计过程中发现该公司的公网LDAP服务器地址。
1.4 ldap服务器信息收集
经过探测,该ldap
服务器存在匿名访问,无需密码即可访问,去网上找了个图形化工具(jxplorer
),填上基底(DN
)即可访问:
将收集到的密码直接贴到cmd5.com
,可以解密
获取到密码以后,即可登录该用户在公司内部所有系统,例如邮箱、威PN
等关键系统。
1.5 企业邮信息收集
在新的企业邮用收集到的账号密码登录
搜索关键词:passwd/password/usernmae/user/威PN/密码
然后再就是查看通讯录(有了ldap
之后查看通讯录主要是为了确定相关项目组成员都是谁,然后去翻查项目组成员的邮箱)
收集到的信息如下:
1、四台服务器的ip地址、端口和密码
在其中一台服务器上,找到了五条mysql的连接记录,格式是:
mysql -h***.mysql.rds.aliyuncs.com -udb_name -p'*****'
2、威PN
的客户端压缩包
3、威PN
的密码
4、elk
的用户名和密码
0x02 进入内网
既然已经有了威PN
和密码,那当然是要接入内网了,安装open威PN
客户端,然后从邮箱里找到了open威PN
的配置文件,一开始使用邮箱里搜集到的密码无效,然后就测试了下LDAP
的账号和密码,登录成功了,成功接入内网。
运维配置平台
http://192.168.10.98:8080
(运维配置平台弱口令admin admin)
在运维配置平台中,只能看到部分服务器信息,还是无法登陆服务器,但是在某个功能的报错信息中,泄露了外网的zabbix
的密码:
初期在内网无法确定目标机器在内网的名称是啥,因为他们内部两千多台服务器和很多项目,而且命名都不一样,但是获取到了这个zabbix
之后,通过搜索passport
关键字,确定到了他们内部对主机的命名,是HT_PassPort_NG_02
和HT_PassPort_NG_TOMCAT_01
:
堡垒机
获取到主机名以后,就可以继续去查找目标主机的信息了,刚才在扫c段的过程中,还发现了堡垒机,堡垒机同样也有弱口令,可以直接登录:
堡垒机弱口令:http://192.168.10.136 admin admin
在堡垒机中确定了下之前搜集到的主机名确实能跟目标系统的IP
对上。
堡垒机平台有个web
端的ssh
连接界面,可以免密连接,先将目标主机添加到admin
可控的主机里,然后推送用户,就可以直接登录了。
在目标机中我们寻找数据库连接信息,因为我们最终的目标是要登录后台,也就是我们要找到数据库中的后台用户名和密码。我们在目标机器中查找到目标系统的代码文件夹,然后去查看配置文件,发现数据库连接方式,除了地址,用户名和密码全部被加密,而且不能解密:
0x03 峰回路转
由于目标机器的数据库账号密码无法解密,本来以为到此结束了本无法解密的话,就没办法继续下去,但仔细一看他的数据库名字,在某台外网服务器上收集到的数据库连接语句中,有相关数据库的连接账号密码,再次登录外网服务器,链接shop_db
数据库,找到管理员表,查找到管理员用户名和密码,测试passport.xxx.com
,登录成功。
0x04 总结
渗透测试的本质还是信息收集,有的时候多维度的信息收集进行组合挖掘,可以得到一些意想不到的收获。
作者:nothing
来源:freebuf.com 2021-05-17 11:04:30 by: 宸极实验室Sec
请登录后发表评论
注册