记一次授权的渗透测试 _渗透测试

信息收集拿到手的目标是一个 ip 加端口的站点，
复制链接到浏览器打开，可以看到重定向至一个登录页，在观察登录入口时，发现验证码可复用，之后使用 burp 重发几次请求，得知同一账号，密码可无限错误，这里由于登录认证的缺陷，导致可进行账号密码爆破，运气好的话可以进入后台；但是，爆破动静太大了，会产生大量日志，容易被察觉，况且爆破后台需要一定的时间，目前处于收集资产阶段，简单测试几个弱口令失败后，转而去寻找其它的有用信息。

文章插图
使用 fofa 简单探测了下端口，发现这个 ip 开放了很多端口，如 3306，27017，6379，22 等等

文章插图

文章插图
这里简单思考了一下，能利用的端口有 MySQL，redis，mongodb，ssh 还有一些 http 服务，这其中 mysql 版本为 8.0.17，在这个版本，漏洞多多少少都修复的差不多了，接下来尝试 mongodb 未授权漏洞，不出所料，漏洞修复了；再尝试弱口令连接，也不存在~~，之后经过其它的信息收集手法，暂时对目标业务信息有了一个比较简单的认知，随后还是回到 http 服务，尝试从 web 端入手。
漏洞探测
之前在测试这些站点的时候，发现这个项目的运维特喜欢使用站点名称加年份的组合口令；根据这个有用信息，结合以前收集到的历史账号密码和目标站点的有用信息来生成一个小组合口令字典，随后再结合 burp 进行爆破，果然不一会，账号密码出来了~~

文章插图
记录下账号密码，重新登陆时，却发现后台出现了这个情况，如下：

文章插图
这时候的第一反应是，站点是不是部署了 waf，ip 被 ban 了？随后使用手机网络打开也同样如此，后来找业务方了解了下情况，说是不能用 admin 登陆，不然会出现错误~~

文章插图
之后客户直接给出了个测试账号，我这边也懒得爆破了，就凑合着用了~~
【记一次授权的渗透测试】一波操作进到后台，随便点点点，发现了个上传的位置，准备好一个马儿，上传截包分析，经过几次实验后，发现 uploadFormat 上传参数可控，只需要增加后缀即可上传 .Jsp

文章插图
原本以为到此就结束了，没想到事情并不简单，复制得到的链接进行访问，发现全都是 404，之后再次在后台寻找其它上传点，发现仍旧如此，不单单是上传的文件会 404，就连站点原本存在的其它文件，复制链接打卡也同样会 404；经过几次尝试后，初步判断这个站点的上传和文件查看功能出现了问题，既然上传用不了，那就转而去寻找其它可利用漏洞，简单搜寻了一波，却也只发现了一堆 xss~~

文章插图
回想了下刚刚收集端口的时候，发现目标还开放了 redis 服务，前段时间搞内网的时候，就遇到了很多 redis 未授权，后台既然没有收获了，那就转向 redis 等服务入手吧。
这里简述一下 redis 未授权漏洞：
Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。
攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的 config 命令，可以进行写文件操作，攻击者可以成功将自己的 ssh 公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中，进而可以使用对应私钥直接使用 ssh 服务登录目标服务器
使用 redis-cli 链接时提示 (NOAUTH Authentication required) 即需要输入密码链接，而非未授权。