只用个低危SSRF提权就能进内网( 二 ) _SSRF提权

在其中一台内网一台云服中发现了多个数据库并发现了f**p的相关业务

文章插图

文章插图

89段office办公主机跑着***系统
渗透内网！尝试打socket隧道出来

文章插图

内网探测

文章插图
【只用个低危SSRF提权就能进内网】
使用ew打的socke隧道经常出问题，于是把自己写的内网探测脚本丢到服务器上跑了起来，只挑了几个重要的核心网段跑

文章插图

文章插图

发现172网段是 http://www.***.com/ 所在的业务段为了更加快速的定位到重要网段，我对内网域名进行了爆破并查看他们的解析地址

文章插图

who.corp.*.com (10.20.95.89)
gongdan.corp.*.com (10.100.100.204)
work.corp.*.com (10.100.75.25)
jk.corp.*.com (10.20.95.86)
baize.corp.*.com (172.31.80.151)
asset.corp.*.com (10.20.95.50)
pm.corp.*.com (10.20.95.29)
wiki.corp.*.com (10.20.95.87)
cms.corp.*.com (172.31.80.101)
…….
本帖隐藏的内容需要积分高于 1000 才可浏览
抓了几个shadow的密码跑了一下发现弱口令挺多的

文章插图

一堆平台只是打开看了一下，并没有进一步操作
渗透到这里就该结束了，本想着下一步先使用metasploit打两台window后尝试拿域控的，因为比较难遇到这样的实战环境，但还是没有进行进一步操作，点到为止。此漏洞从周四晚上八九点发现低危SSRF到拿到内网ROOT权限用了不到三个小时时间，但是由于waf 和ids等设备的阻拦打socks隧道花了我将近两倍拿shell 的时间，最终发现不稳定的原因是我的nc -k参数持续监听了端口，导致内网十几台redis数据库都在同时请求我的端口上线，我想执行一条命令，将会同时在这十几台上线的主机上同时执行，这导致了我的socke端口堵塞，最后解决办法是，不用-k参数，当一台主机上线后，不接受其他主机上线请求。然后操作这台主机使用sSocks 再打一条相对稳定的socks隧道出来，直入内网，不得不说sSocks相比EW稳得一批。
结束语：任何严重漏洞的背后必然是从一个不起眼的没什么技术含量的容易被忽略的漏洞引起的，做好细微漏洞的防范的能防止重大信息安全事故的发生。