活動複盤#
由於本人太菜了,本次活動在重點靶標範圍內收穫甚微。
先吐槽一下主辦方給的靶標,先不說有很多都是內網地址或無法訪問的地址(有違規下線之嫌),即使能夠正常訪問,都臨時加上了創宇盾,這讓我怎麼測啊😁。還有奇葩的規則,使得數據分的含金量一下子降到谷底,關鍵還是得權限分(雖然也沒搞到多少數據分就是了)。
web 方面,受限於靶標,基本上是測測弱口令,拼接一些接口,好不容易在旁站拿到 shell,卻實打實的是邊緣資產,根本沒有內網 /(ㄒ o ㄒ)/~~。最後,還是靠資產測繪引擎找到某 OA 存在弱口令上了波大分......
小程序方面,基本都有所防護,沒能挖到心愛的越權漏洞,雖然發現有可爆破的登錄接口,但沒能爆破出來......
數據分析#
如圖,在有效攻擊中:
web - 弱口令 34 個
越權漏洞 11 個
信息泄露 10 個
登陸繞過 9 個
文件上傳 7 個
SQL 注入 5 個
權限提升 2 個
文件讀取 1 個
其他 8 個
可見,弱口令依然是最需要關注的點,換個角度看,沒了弱口令,系統被入侵的風險一下子就降低了很多。
案例分析#
案例一:弱口令#
xx 系統存在弱口令漏洞,攻擊隊通過管理員弱口令獲得全部用戶帳號,通過用戶帳號弱口令進入後台,文件上傳獲得系統權限,通過備份文件獲得數據庫帳號密碼,可接管 50 多台雲主機。
這是最常規的操作,需要紅隊熟練運用。
案例二:越權漏洞#
上圖通過 DevTools 調試發現越權,思路值得學習借鑒。
案例三:信息泄露#
前端 Js 文件泄露超級管理員帳號密碼,可查看和控制 15 台攝像頭,並可上傳語音文件,然後對外發放。
細啊!
案例四:小程序風險#
泄露 APPID 和 key 可通過微信調試工具直接控制小程序。
我怎麼就沒挖到呢?還是細節!
經驗收獲#
信息打點#
眾所周知,信息打點是滲透過程中最重要的一環。我們的資產收集流程是這樣的:將靶標資產過濾後統統放燈塔跑一遍,挑選單個網站測試時使用插件找尋一些接口泄露、其他端口服務等。
經過這次活動,我才認識到自己的信息收集工作存在很大的不足。就以某智慧網格系統舉例,已知互聯網訪問地址 xx.xx.gov.cn
我只是將其放進燈塔或其他工具中跑一遍沒發現太多暴露面,就悻然放棄。未曾想,先查出 ip 再跑,攻擊面就擴大了。如圖,發現 geoserver 服務,可使用弱口令 admin/geoserver 登錄,接下來能做的事情就很多了......
攻擊手法#
這次看到很多大佬都是 F12 審計 js 文件,這是我看到過多次但從沒試過的操作。以前對於 js,我就純靠熊貓頭自動提取信息,有時候也簡單翻找下接口。(因為想到 js 逆向也不是小白能做的。) 現在看來,挖洞還是得靠一個字 —— 細,沒那麼多花裡胡哨的調試。就算是大佬,也不是老老實實看 js 代碼,最終在 js 中找到泄露的管理員帳號密碼上了波大分嘛。
以前對於小程序,我都是隨便點一點功能點,然後在 burp 挨個看數據包,常常搞到最後因為沒耐心而放棄。大佬卻告訴我這樣太慢了,小程序也可以用 DevTools 調試分析,又學到了,經驗 + 1。
尾聲#
這次攻防演練雖說是坐牢,但也收穫了很多。技術不是一朝一夕能學成的,進步還得靠不斷的實戰練習。