数据库|记一次拿到后台权限的过程( 二 )
test.com
进行突破呢?
访问test.com
打开的是供应商公司的官网 。
对test.com
的域名做信息收集后发现了几个子域均解析致某云服务器 , 但是ip不同 。
首先git.test.com
这个域名引起了我的注意 , 打开后是一个gitlab服务 。
gitlab历史上是由几个漏洞的:
但不幸的是此系统版本较高 , 漏洞均以修复 。
那会不会由弱口令呢?使用几个常用的用户名和top密码进行爆破 , 无果 , 我又想办法加到了此公司的一个qq群中 , 尝试在群文件中获取一些有效信息 。
果不然 , 群文件中有一份表格 , 记录了员工的详细信息
有了这些信息 , 我开始使用姓名和工号等组合成gitlab的用户名 , 使用常用弱口令定向爆破 , 期望能有一两个结果 , 但是还是无果 , 看来此gitlab对密码强度有要求 , 弱口令是走不通了 。
柳岸花明又一村当使用google hack 语法搜索此gitlab时发现了几处无需认证即可访问的公开仓库 。
我开始把希望寄托在了这些可公开访问的仓库上 , 仔细翻看这些仓库 , 大多数都是一些接口文档 , 对本次渗透没有啥用 。
终于在rabbitmq安装介绍文档中发现了一个oracle数据库的连接用户名和密码:
在前面的信息收集过程中 , 已经发现了x.test.com
这个子域名对应的ip地址开放了oracle数据库端口 , 我迅速连接了此数据库发现用户名密码正确 , 可以连接 。
由于此数据库版本较低 , 并且时sysdba权限 , 我可以直接以system权限执行命令 。
然后就是添加用户登录拿下了这台oracle数据库的服务器 。
并且在这个mysql文件夹中发现了mysql的配置文件 。
由于test.com
这台服务器是开放了mysql数据库的 , 利用此信息 , 我又成功登录了mysql数据库 。
在mysql数据库中成功获取了供应商官网test.com
后台的用户名和密码 。
当我满怀欣喜的去登录时 , 发现确实可以登录 , 但登陆后的后台功能都已废弃 , 只有一个大大的thinkphp错误 。
怎么办 , 原想的通过后台getshell的想法也落空了 。 (也尝试过使用Thinkphp3的漏洞利用 , 但也全部失败了)
绝处逢生到这里 , 我认为只能把希望放在这个mysql数据库上了 , 由于是windows系统 , udf提权大概率成功不了 , 那就只能尝试写webshell了 。 写webshell的话需要知道绝对路径 , 我尝试使用各种办法让test.com
报错 , 看报错信息中有没有包含绝对路径 , 一系列操作过后无果 , 只有404页面 。
没办法了 , 只有盲猜一波 , 我突然想到了mysql数据库表的表名是否就是网站的目录名呢?
使用这两个表名构造了以下绝对路径
c:\\\\hs_web
c:\\\\hsweb
d:\\\\hs_web
d:\\\\hsweb
当尝试到c:\\\\hs_web
时 , webshell提示已经写入成功了 。
使用蚁剑连接成功:
由于当前用户权限较小 , 使用potato成功提权:
添加用户成功登录远程桌面:
在服务端的nginx配置文件中发现了代理规则 , 涉及到几十家医院:
原来这些医院的微信公众号业务都是先访问test.com
这台服务器 , 然后再由这台服务器上的nginx转到到各个医院的真实服务器上 。 那这样也太不安全了吧 , 一旦供应商的这台服务器宕机、他们的业务也得跟着丢 。
- AMD|AMD预告新款Radeon Pro专业卡:第一次用上6nm工艺
- 大屏|尺寸直追笔记本 曝国产厂商将推出高刷大屏旗舰平板
- 上海图书馆东馆东方网记者包永婷1月16日报道:1月15日下午|上海图书馆东馆内部啥样?跟着读者公测先睹为快
- 数据库|OPPO悄悄上新机,骁龙8核+5000mAh电池,256G仅售1599元
- 笔记本电脑|年货节,这些手机值得买!新年败家购机不完全指北
- 新年新气象。|深度 | 创造“世界记录”!江苏这个王牌实验室为何收获多?
- 滴滴出行|滴滴不会立刻关门大吉,而是在不知不觉中被人忘记
- 新快报讯 记者张磊报道 2021年三季度|线上线下双“IQ”赋能,凯迪拉克LYRIQ打造更高维度的用户互联
- 原创|这样的老板真恶心,客户不修电脑就搞破坏,维修费一次比一次高!
- 数据库|丁磊致歉“鱼眼观察”作者并回应:已撤回删稿函