渗透O2O内网全过程

congtou 2016-12-20 渗透技巧 0 0

文章出处: 边界安全    作者:kris

今天团队有个新来的,投稿就是这篇内网渗透,按我的审核标准是pass的

无奈人家是关系户,和另外一位核心认识,我也不太好意思拒绝就给过了。

大家看看就好,不足之处,随意取笑。

以下是原文:

漏洞挖掘:

某O2O公司,他们公司几个高管在一个微信群看到过,有时看到这个公司一些推文,我主动AT他们没有理我,我感觉我被无视了,于是想其做一次渗透测试提交到漏洞平台

http://wuye.xxxxxx.com 物业后台 IP是12*.***.***.174

通过管理后台的测试账号进去看了下,对拿shell和获取敏感信息没什么帮助。

http://wuye.xxxxxx.com/cb/sys/gotoIndex.do#/gotoPage/we_chat_setting

http://wuye.xxxxxx.com/cb/  物业后台

有默认账号密码

loginName:ty_wy

loginPwd:888888

1

1

于是转战下个子域:

http://mobile.xxxxxxxx.com/qa/

http://mobile.xxxxxxxx.com/public/accessDenied.jsp

文件连接居然是物理地址。

http://mobile.xxxxxx.com/front/showImage.do?imgAddress=D:/var/upload/imgs/good/1445226710843.jpg可任意下载

1

收获地址处储存和反射XSS

http://mobile.xxxxxxx.com/front/address/list.do?1=1&certificate=1&authorizer=bl

11</span><img/src=1 onerror=(alert(1))><span>

1

http://mobile.******.com/front/forum/member/index.do?1=1&mid=09cb90cb-e15c-41de-a86e-a8ca5a888e3e&certificate=1&authorizer=bl  个人中心

1

点击空白修改背景,抓包上传jsp

http://mobile.xxxxxxx.com/front/showImage.do?imgAddress=D:/var/upload/imgs/forum/members/centerBg/1461816682215.jsp

直接下载,但无法执行,很难猜测磁盘文件, 没什么收获。

于是对12x.***.***.174这个IP直接进行渗透。

信息收集

发现12x.***.***.174是个ER3200路由器

wuye.xxxxxx.com是内网服务器映射出来的

8080端口直接访问路由器,弱口令......

http://12x.***.***.174:8080   admin  admin

(服务名称为web的是后来映射的)

1

192.168.1.186的3389失败

192.168.1.137的3389失败

192.168.1.137的80 ok

1

三个MAC地址相似,可能有关联

1

下面是一些外网IP

1

发现12x.xxx.xxx.161是外网网关,对网关IP端口扫描没什么发现

1

从路由器的登录日志看到,内网的176和36有登录过,我认为目标可能跟这两个很近了。

1

DHCP地址是192.168.1.131开始,所以131之前的都是手动,可能是服务器IP,还有199后的。

1

内网WEB服务器沦陷

确定wuye.xxxxx.com WEB服务器在192.168.1.36,我把它的3389映射出来,连接发现是win7系统。

通过弱口令成功进入Administrator  123456

还挂载这移动硬盘,这安全意识够底,但后来我发现他这WEB服务器和程序居然放在移动硬盘。

1

服务器有1433\3306和svn

这个192.168.1.36主机名:USER-20141128RF

1

1

居然是空密码,然后开下外联

1

1

1

Tomcat配置信息

1

1

浏览器可能会有痕迹

1

1

目标jsp代码,整个Tomcat和jsp代码居然都放在移动硬盘里

1

在我的文档下有个sys_user.sql

1

1

WEB服务器Getshell

1

网站程序物理地址

F:\xxx***xxx\Tomcat\webapps\cb\

1

放了两个jsp一句话进去

1

多个视频监控设备

1

这个ds和其他设备可能是监控和打印机啥的,然后打开这个ds是海康威视监控

1

那些设备都是海康威视的,内网IP都是192.168.1.2xx

分别是251、208、206、201、204、202、203、205、257  都是80端口

1

这个华为的网关设备

1

http://xxx.***.com/docs/config/value.jsp  socket5正向代理脚本

1

然后本地看下这家公司办公环境。。。这个时候算下班时间了。

1

评价:没涉及到什么技术含量,基本都是信息收集和运气成分

PS:请问咱们公众号的各位能够通过视频监控中认出来是哪家公司吗?

会不会就是你所在的公司?

转载请注明来自华盟网,本文标题:《渗透O2O内网全过程》

喜欢 (0) 发布评论
发表评论