记一次漏洞组合拳拿下内网

背景

某日接到一个hw项目。在充分授权的情况下，针对客户的系统进行渗透测试，目标是某著名企业，资产较多。

突破

1. 首先是针对目标进行资产搜集，因为客户为集团公司，旗下子公司很多，所以根据目标企业名称查询出他所有的分公司，在根据分公司名称查询出客户所备案过的主域名，再将主域名导入资产收集平台，进行子域名及IP端口资产的搜集

1. 在针对目标进行资产搜集的时候，发现了这么一个系统

没有验证码，且可以使用手机号登录；通常来说这类系统肯定存在测试账号，使用Burp搭载手机号Top4000字典一同爆破，进入到了一个查询人员账号

在“基础信息管理”功能的地方，存在越权，可以查看到管理员手机号，以及账号默认密码为手机号后3位+手机号后3位

但是尝试了默认口令以及弱口令Top10000，均未爆开，至此在Web侧已经没什么可以利用的地方了，但是忽然回想起在登陆界面有个二维码，是手机APP的下载地址，于是把APP安装来分析。

首先输入之前爆破来的账号，尝试登陆

登陆进去以后发现功能只有1个

Burp康康刚才登录的数据包

发现返回包可以看到返回了用户ID，手机号

尝试将ID和手机号修改为管理员的，即可成功越权访问到管理员面板

在某处功能找到了任意文件上传，验证方式仅仅为前端验证，抓包修改后缀为.jsp即可绕过，但是他上传并不返回文件路径，且通过fuzz测试判断，文件的存储路径和Web路径并不在一起

于是继续在APP找，终于又找到了一处任意文件读取，尝试构造../的形式去读取Tomcat的日志，找到了网站的绝对路径

构造路径，拿下WebShell

上线到CobaltStrike，抓取到管理员密码及RDP服务端口，成功拿下此系统