当前位置：首页 > news >正文

记一次某红蓝演练经历

news 文章来源：https://blog.csdn.net/2401_83799022/article/details/145032599 2025/2/7 5:53:45

在某天接到任务，对xxx进行一次红蓝演练，于是把自己渗透过程给记录下来，漏洞关键地方也会打码，希望各位大佬理解，菜鸡一枚，勿喷/(ㄒoㄒ)/~~

概述

拿到目标域名第一件事就是信息收集，曾经一位大佬告诉我的一句名言：信息收集的深度决定渗透测试的广度，送给大家。由于这里给出了xxx公司，而且目标资产基本都在云上，我就通过这个企业的备案还有它旗下的一些资产进行收集，这里我用到的工具有大家熟知的:Hunter、Fofa、360Quake等，这里也推荐一款工具就是无影TscanPlus，之前没怎么关注，因为感觉资产测绘的工具都大差不差，但是听朋友说这款工具信息收集还不错，于是就尝试使用了一下，我配置了各种key以后，信息收集能力还是不错的，声明一下:我没有会员哈哈哈哈，不过还是可以当作一款信息收集工具的，会员可以增加全量POC，感觉还是很不错的，接下来就是拿到资产以后进行渗透

正文

首先拿到资产进行筛选，嗯？突然看到一个特别熟悉的框架，由于之前团队经常打杀猪盘这类违反网站，所以一眼就看出来了这是fastadmin框架，当然通过findsomething这个插件也能看到js路径有fastadmin的字样，当时看到这个瞬间兴奋起来了，这是马上要拿下了吗？

但是切记半场开香槟是大忌，于是想到之前有个fastadmin任意文件读取漏洞嘛，尝试利用一下，POC也放下面了
GET /index/ajax/lang?lang=../../application/database

很幸运，漏洞是存在的，成功拿到数据库的账号和密码，不错不错

还是不能高兴太早，因为拿到的是域名，得找它的ip并且还要开放3306端口或者数据库端口才行，于是通过多地ping寻找真实ip，很幸运，对方并没有购买CDN服务，通过Nmap也确定了3306端口对外开放，接下来就是爽连的过程了，数据还不少呢，算一个小战果吧，因为当时进后台发现了近20W+的个人身份信息

既然有了数据库，那就尝试进后台拿shell，这里fastadmin数据库密码都经过加盐处理了，一般来说是解密不了的，当然运气好的哥们除外

这里我就想到之前可以通过修改密码进入后台的方式，于是去网上找一下fastadmin的密码与之匹配的盐值，然后修改后台密码为123456即可，记得该回去哈，如图

按照图中所示，修改了密码后，进入后台，发现了不少数据，大概4W+数据吧，还有不少实名认证信息，到这里fastadmin基本上可以结束了，因为大部分是shell不了的

但是我突然想到，欸，我有个朋友很厉害，于是跟他深入交流了一波，你懂的嘿嘿，这里成功通过后台拿到shell，这里细节不过多描述，最后也是成功连上了哥斯拉，看到了网站下部署的服务，很经典的框架和文件结构，而且是云上，所以就没有再深入了

后来在复盘的时候，发现这个是主域名，但是目标主ip不是这个，所以打的稍稍有点偏了，不过没关系，还有呢！
熟悉的界面，没错就是jeecg-boot，我这里直接未授权就进来了

当时想着系统版本应该比较拉胯，于是工具(I-Wanna-GetALL)一把梭，通过积木报表的历史漏洞RCE，当时用Vshell上线失败了，可能是工具和环境有问题吧，于是用msf上线拿到服务器权限，这里我没有仔细翻，也许会有宝藏谁知道呢，而且是台双网卡的云服务器

于是又在一堆目标里翻垃圾，终于苍天不负有心人，在xx目标url中一处js里找到了阿里OSS的AK/SK，所以平常多翻翻js文件还是有好处的，指不定就有AK/SK等着咱们呢，这有个小技巧就是阿里云的存储桶key这些的特征是LTAI开头等，各大云厂商的特征网上也有文章介绍，这里不做过多阐述，下面开始爽连

既然有了存储桶权限，那我们去看看这个key下有什么东西吧，这里我想到一款云上工具:CF，来自狼组安全团队的一款工具，挺不错的，这里也放一下工具的使用手册，新手放心食用，最新的云鉴也可以试试，毕竟CF的动静还是挺大的

https://wiki.teamssix.com/CF/

于是就根据工具罗列出该AK/SK的权限，不错不错，最高权限，后来也是看到有大概50+个ECS、6+个域名、3+个数据库服务

这里是下面的ECS实例

AK\SK下的OSS Bucket

这里我也是成功通过创建凭据拿到了阿里云的控制台权限

这里提示一下，用CF创建后门用户的时候，阿里云会产生告警，可能会让对方警惕起来，所以非必要还是杜绝这种操作吧，项目结束后也要记得把后门用户给清理掉，否则追责起来很麻烦

后来就是列举一些ECS实例，通过反弹shell的方式或者执行命令来上线，这里也是成功上线大概10+台机器，因为机器太多了，然后关键机器已经拿到了，所以后续就没有必要继续拿服务器权限了

基本上一天就打穿了，非常爽，后来就是在云上翻垃圾的时候，通过搭建隧道进入云上内网，翻到一些泛微、Nacos这种服务，这里是翻到Nacos的配置文件里ssh账密泄露、数据库等，拿拿数据分啥的

数据库配置，用DBeaver和Navicat都可以连，这两都挺不错

这里是利用内网泛微E-mobile的弱口令进的后台，网上可以搜搜泛微的通用默认密码，说不定瞎猫碰见死耗子了呢

然后看到泛微E-mobile就想尝试一下之前爆出的任意文件读取漏洞，因为我在公网当时找了好几个ip，都是302重定向然后说资源不存在之类的，可能是接口做了鉴权？这里也不太清楚，于是我就抱着试一试的心态看看内网这次能不能成功，果然，上天比较眷顾我，竟然复现成功了！刚开始读取的是Linux的etc/passwd，返回302，心里已经拔凉拔凉的了，但是我不甘心！突然想到也许是windows系统?于是读取windows/win.ini，成功读取到了文件，果然渗透还是要不放过任何细节才能出货呀