活动复盘#
由于本人太菜了,本次活动在重点靶标范围内收获甚微。
先吐槽一下主办方给的靶标,先不说有很多都是内网地址或无法访问的地址(有违规下线之嫌),即使能够正常访问,都临时加上了创宇盾,这让我怎么测啊😁。还有奇葩的规则,使得数据分的含金量一下子降到谷底,关键还是得权限分(虽然也没搞到多少数据分就是了)。
web 方面,受限于靶标,基本上是测测弱口令,拼接一些接口,好不容易在旁站拿到 shell,却实打实的是边缘资产,根本没有内网 /(ㄒ o ㄒ)/~~。最后,还是靠资产测绘引擎找到某 OA 存在弱口令上了波大分......
小程序方面,基本都有所防护,没能挖到心爱的越权漏洞,虽然发现有可爆破的登录接口,但没能爆破出来......
数据分析#
如图,在有效攻击中:
web - 弱口令 34 个
越权漏洞 11 个
信息泄露 10 个
登陆绕过 9 个
文件上传 7 个
SQL 注入 5 个
权限提升 2 个
文件读取 1 个
其他 8 个
可见,弱口令依然是最需要关注的点,换个角度看,没了弱口令,系统被入侵的风险一下子就降低了很多。
案例分析#
案例一:弱口令#
xx 系统存在弱口令漏洞,攻击队通过管理员弱口令获得全部用户账号,通过用户账号弱口令进入后台,文件上传获得系统权限,通过备份文件获得数据库账号密码,可接管 50 多台云主机。
这是最常规的操作,需要红队熟练运用。
案例二:越权漏洞#
上图通过 DevTools 调试发现越权,思路值得学习借鉴。
案例三:信息泄露#
前端 Js 文件泄露超级管理员账号密码,可查看和控制 15 台摄像头,并可上传语音文件,然后对外发放。
细啊!
案例四:小程序风险#
泄露 APPID 和 key 可通过微信调试工具直接控制小程序。
我怎么就没挖到呢?还是细节!
经验收获#
信息打点#
众所周知,信息打点是渗透过程中最重要的一环。我们的资产收集流程是这样的:将靶标资产过滤后统统放灯塔跑一遍,挑选单个网站测试时使用插件找寻一些接口泄露、其他端口服务等。
经过这次活动,我才认识到自己的信息收集工作存在很大的不足。就以某智慧网格系统举例,已知互联网访问地址 xx.xx.gov.cn
我只是将其放进灯塔或其他工具中跑一遍没发现太多暴露面,就悻然放弃。未曾想,先查出 ip 再跑,攻击面就扩大了。如图,发现 geoserver 服务,可使用弱口令 admin/geoserver 登录,接下来能做的事情就很多了......
攻击手法#
这次看到很多大佬都是 F12 审计 js 文件,这是我看到过多次但从没试过的操作。以前对于 js,我就纯靠熊猫头自动提取信息,有时候也简单翻找下接口。(因为想到 js 逆向也不是小白能做的。) 现在看来,挖洞还是得靠一个字 —— 细,没那么多花里胡哨的调试。就算是大佬,也不是老老实实看 js 代码,最终在 js 中找到泄露的管理员账号密码上了波大分嘛。
以前对于小程序,我都是随便点一点功能点,然后在 burp 挨个看数据包,常常搞到最后因为没耐心而放弃。大佬却告诉我这样太慢了,小程序也可以用 DevTools 调试分析,又学到了,经验 + 1。
尾声#
这次攻防演练虽说是坐牢,但也收获了很多。技术不是一朝一夕能学成的,进步还得靠不断的实战练习。