记一次对某企业的渗透测试实战

内容来源：T00ls

一、前言

本文总结一下漫长的渗透测试过程，想尽了各种方法，终于找到了突破口。so没有绝对的安全，所谓的安全性其实都是相对的～

二、信息踩点

在这里其实没办法去做一些有价值的收集，只能踩点，踩坑。

三、信息难点：

传输加密：

要做渗透的目标是一个APP，根据抓到的请求包发现这个APP是经过某产品加固过的，所以HTTP的POST请求正文部分(Data)是神奇的密文～

分析难点

分析：

信息踩点其实也是解决难点的过程，在这里我们尝试对APP进行逆向，发现并没有什么东西，因为被加固了。

对APP进行功能的整理，逐个功能点进行抓包分析：

请求正文(data)虽然是密文，但是请求的URI还是真正按照对应的功能去请求的（参考URI的命名和功能的相对应性）

建立设想(A)：

在这里请教了师傅，说可能GET请求参数并没有经过加密，而后台很有可能是这样写的：

一点即通，首先我可以去测试是否是真的这样的后端处理接收。

为了满足第一步的验证，我需要想办法找到一个GET请求的包并且有带有GET参数，这样我才能判断规则，不然就是大海捞针。

四、有价值的东西

其实对APP做渗透测试，大部分情况下还是对网站做渗透测试。

所以在这里抓包获取到的HOST，直接对其进行了前期的常规信息刺探（端口、目录、指纹...）

中间件：Tomcat

目录开放：/fileUpload/

端口开放：8001 1444

APP三个功能点：个人用户、资金管理、生活栏目

五、渗透开端

一开始粗略的对整个APP进行抓包，然后做一些简单的测试，发现并没有那种明面上的漏洞（SQL注入、XSS等等...），但是获取了这几条URI：

/userCenter/getUser[获取用户信息URI POST]

/userCenter/pay/getSign?userSign=[获取Sign POST]

/userCenter/life/showShop?pId=[获取商品信息 GET]

/userCenter/showQRcode[获取二维码图片 POST]

六、不小心日偏

仔细的对每个功能点进行测试的时候，抓到了一些"逃出加固命运"的明文报文。

发现了S2-005这个历史悠久的Struts2框架远程代码执行问题：

执行了：

发现了SQL注入，这里需要做一些简单的绕过(e.g.)：

然而没看清楚，一下次给日错地方了...很尴尬。

七、关联分析

日偏后我分析了一下两者的特征，发现应该出子同一个程序员之手，并且这个程序员很喜欢使用驼峰命名法...

1、验证设想(A)

在这里我尝试根据每个URI功能点生成GET请求参数的dict：

/userCenter/getUser[获取用户信息URI POST]

dict: [uId, userId, uName, userName ...]

/userCenter/showQRcode[获取二维码图片 POST]

dict: [uId, userId, uName, userName, imagePath, filePath, codePath, fileName ...]

生成请求：

2、结论

现实残酷，打败了设想。

3、绝处逢生

就在想放弃的时候，决定打算"垂死挣扎"一下，重新开始"审视"了各个功能模块，眼光又转到了这个二维码地方。（因为二维码的"皮相"，所以很多人都会忽略它）

这里我去解析了二维码的地址：

失算...失算...，当去访问这个地址的时候，响应报文中会多出这样的头：

这时候我就知道是时候修改了，然而修改了没用，根据多年的经验（吹牛）我认为是参数起了作用，这时候对进行删除发现不行，会提示参数不存在，当我置空这个参数，发现居然成功了又返回了用户的Cookie凭证...好吧，说明这里有一个逻辑问题...

到这下去就很简单了，获取管理员权限有上传点，测试使用jhtml的后缀可以直接绕过上传，但是上传上去之后，直接访问就给你download下来了（很多次遇到这种问题...）

好吧，管理员也没啥能危害到服务器的东西了...不过回过头再来看看，二维码这个点还没啃完呢，这个参数还没去测试，fuzzdb了解一下，先怼lfi的字典进去跑（有个坑这里一定要填写完整[uId, uSign]），然后再进行Fuzz：

从intruder模块(BurpSuite)的测试结果发现这里是可以读取文件的，并且判断这个web服务是root权限运行的因为我修改参数的值为时我直接可以获取到文件的内容，从而获取root账号权限的密码：

(解密不了)，怎么通过这个本地文件读取漏洞拿到shell？我的思路是通过读取tomcat的密码配置文件然后进入tomcat的Web管理部署war包进行getwebshell，但是这里做了一圈的目录猜解，死活没找到tomcat的应用目录...

读取啊(这个文件是记录root用户输入过的命令-老师傅提醒到)，突然间我茅塞顿开，是啊，一般运维人员会通过命令行进行管理，那么肯定会有目录出现啊。

我修改参数的值为，搜索下关键词tomcat就发现了：

成功的发现了root用户的命令历史并且找到了Tomat的应用安装路径，那么我只需要修改fileName的参数值为，直接就可以读取到Tomcat的管理员账号权限，从而直接通过外部访问的形式进入Tomcat的管理界面进行控制。

登录进来之后直接到WAR file to deploy功能点，进行war包的部署（在这里使用压缩的方式将网站后门压缩成zip格式然后修改后缀名.zip为.war即可），点击Browser选择war包然后点击Deploy：

这里部署上去之后回到Applications功能点，可以看到部署的情况，点击你的命名链接然后加上你压缩的文件名（这里我的是 /vulkey/vulkey.jsp）使用Webshell管理工具进行管理，看见了我久违的界面，久违的root权限：

八、总结

因为后渗透可能会影响正常业务的运行，所以没有继续进行下去，很遗憾，希望下次有机会。END:送给大家一句话：心细则挖天下。

「天億网络安全」 知识星球一个网络安全学习的星球！星球主要分享、整理、原创编辑等网络安全相关学习资料，一个真实有料的网络安全学习平台，大家共同学习、共同进步！

知识星球定价：199元/年，（服务时间为一年，自加入日期顺延一年）。