百科问答小站 logo
百科问答小站 font logo



作为渗透测试工程师有什么有趣的经历? 第1页

  

user avatar   hei-ke-lao-niao-qiu-shui 网友的相关建议: 
      

以下主要讲述了一次内部测试任务中,如何获取到应用系统权限之后,提到最高的。可以总结为打了一套各类小漏洞的组合拳。

隐私内容已打码,不喜勿喷。

领导的一声令下,原本昏昏欲睡得我瞬间精神抖擞,原来是渗透测试任务来了,针内部运维平台的。


第二天一早,我鸡血上身。拿到测试地址后一看,心中顿时万马奔腾,傻傻得我,傻傻的一个登陆框。

不要慌,不要怕,车到山前必有路,我不断暗示着自己,随便找俩地位漏洞交差算了。这是实时使用的生产系统,这要是搞崩了,全国上下几十个分公司不对得扒了我的皮?不要扫描,千万不要搞对业务有影响的漏洞,有低位漏洞交差就行。

那么,先走一波常规信息收集。

google插件wapplyzer,查看当前系统信息。

跑一下nmap,防止防火墙拉黑,也就是常见端口探测,看看有没有搞测试用的垃圾站部署。结果嘛,看看就知道了。

系统目录也跑了下,钟馗也搞了下,没啥收获。

这样看来,只能搞手工了。神器burp上场,尽可能挖一挖逻辑漏洞。登录框仔细瞄了几眼,不要验证码?那必须对admin账号搞一波爆破。

结果是:5次错误锁定策略劝退,这还爆破个锤子。

网页源码啥也找不到,嘿嘿,居然有明文传输的包。单次撞库,非你莫属。

burp再次登场,抓包,撞库。幸亏选择topname10000撞库,用tonname500就得凉凉。

看来幸运女神还是眷顾的,跑了一万还能有两个成功的。后台弱口令的漏网之鱼,抓一抓还是有的!

这工作算是圆满了吧?可以交差了吧?

额。。。还是继续测吧!对,拿人钱财,替人消灾,我绝对不怕领导那双杀气腾腾的眼睛。

用wu**这个账号登陆进系统,得,这么低的权限怎么玩?果断换,这个可以,貌似是个领导,竟然有新建账号的权限。你看,我说运气很OK吧!

新建了个账号可以选角色了,竟然发现某个角色权限竟然现在用的账号权限更高,那还等什么,新账号systemtest闪亮登场。

新账号登进去一看,众多模块中我一眼就相中了角色管理。角色管理可以新建角色,新建的角色居然还能拥有所有模块的权限?那不盘你盘谁?

此时,成就感爆棚,最高权限这么容易就搞定了?

于是,systemtest2准备起飞。

现实的巴掌,总是在最兴奋的时候给你当头棒喝。什么最高权限啊?最高是最高了,某分公司最高。总部的最高权限拿不下来,对不起今天的幸运女神。

于是,又开始了闷头苦干,一番胡乱点击之下,居然在查看用户信息的时候看到一个极其像用户ID值的特别参数。

这样的好东西还能让你跑了?果不其然,一片新大陆瞬间呈现在我眼前!

遍历340这个值,自然就能对个人信息进行修改呀。测试之后,总算抓到了admin的账号信息。

既然用户信息可以改,越权修改密码是不是也该试一试?果然,不学会举一反三,挖不到你想要的的洞。

修改密码的URL可以越权访问。。。

接着就是解决旧密码的问题了,也不知道能不能绕过,抓包好了。

没想到,旧密码输入好之后,正要输入新密码,系统竟先判定了旧密码,这是不是就可以想办法绕过旧密码验证?

抓包抓包!判定的条件是true/false,这应该是无限接近成功了吧。

我直接就把response结果改为true,长度改为4,“咻”的一下验证就绕过去了!!!

这下就畅通无阻了,admin密码一修改,啥啥看不到?

终于结束了,又博得一次深受器重的机会。

至于拿shell,后渗透什么的就先不想了,出个报告先交差。

以上经历总结一下,想要拿到最高权限不是靠单一漏洞就能做到的,是各种小漏洞组合起来,充分利用才能达成目的。

文明传输给了我撞库的机会,因为弱口令的存在,才能撞库成功,然后利用功能上的缺陷(低权限的账号可以新建高权限账号),然后才能对admin信息进行越权访问,再来旧密码的验证绕过。你单独来看,这些小漏洞没啥风险,但是一旦遇到老手能串联起来进行利用,那就会导致严重的安全事故。无论是渗透还是其他什么,拼的都是思路,一定要活学活用。


user avatar    网友的相关建议: 
      

非专业渗透。

学校安排在某宽带公司实习销售/安装工程师。我们是划分片区的,一个组负责几个小区的销售和安装,公司规定除非特殊情况,不得去其它组的片区拉客户。

那营业厅经理看我们学生好欺负。让其它组去我们片区偷单。这能忍?又干了一周多,理清业务逻辑了。我们有工单平台,所有渠道的销售信息都记录在上边。我想着大不了同归于尽。

得弄到工单系统的地址账号密码。

营业厅内有助理守在电脑前,营业厅有摄像头, 电脑还有开机密码,想直接操作电脑不现实。

幸好有WiFi,营业厅用的小米3C路由器。

在手机上用zANTI进行中间人攻击

拿到了工单系统的IP地址但用户名和密码加密了。

晚上回宿舍用电脑看了下那个工单平台,试了admin/123456之类的简单密码,显然没人用这么弱智的密码,至于入侵?怕是难为我这个学生了

看了桌面一角的Dreamweaver

我花了两个小时做了个钓鱼网站。

就两个页面,

一个是登陆页,输入密码后get传到第二个页面,第二个页面提示:服务器响应超时,请稍后再试。(参照输错密码的页面改的),同时用php获取密码写入txt,再自动跳回第一个页面。

反复检查了,基本没有瑕疵。

但看了浏览器地址栏的127.0.0.1犯愁了,IP地址咋搞定?怎么让助理用原地址可以访问到假网站。

因为是装宽带的,对路由器比较熟悉,小米3C这款是有VPN功能的。可以指定网址/IP走VPN通道。

宿舍旁边有一家用联通宽带的,WiFi密码12345678,有公网IP。

我有个小米Nano路由器,刷了固件后可以任意修改路由器自身网段,例如改到153.100.27.x,我改成了工单平台同网段

先用自己的路由器用wisp连上邻居的WiFi,端口映射,开启VPN服务端功能。

备用机装上ksweb,把钓鱼页面放进去,连上自己的路由器,开启端口映射,把手机IP地址设置与工单平台IP一致。

第二天早早的起床,让邻居的路由器重新拨号,目的是重新分配的IP地址,保证72小时内不变。

然后去营业厅,设置好VPN,连接到我宿舍的路由器上,访问钓鱼页面正常。然后让浏览器自动刷新那个密码txt的链接,显示404。一切准备就绪,等待上钩。

15分钟后,助理来了,打开电脑...

在某一瞬间看见手机屏显示pass.txt的下载弹窗,下载!随后关闭了小米3C路由器的VPN连接。


成功拿到账号密码,晚上回宿舍登陆,获取到其它组的有意向和预约客户的信息。第二天拿私人号码给他们打电话,说客户那栋楼的机柜坏了,同楼没其它用户,要装宽带需要额外交500元安装费。


后续就是我们营业厅那个月业绩非常惨 ,营业厅经理还以为是竞争对手搞鬼。


user avatar   yan-yan-62-78-80 网友的相关建议: 
      

做惊心动魄的一次物理渗透攻击。

四年前的事,配合取证工作,不是非法的。。。。

网上正面漏洞实在拿不下,磨叽了十多天过去了,各种钓鱼也没进展。

老大一气之下,直接说:去机房,去服务器所在机房偷硬盘。

开始实施步骤。

1.先找到对方服务器ip在X州一个idc机房,通过行内人问到是哪个服务商,联络对方服务商,要了一台相邻ip的机器,带宽都要100m独的,不砍价,让服务商觉得我们爽快增加信任感,购买信息全部用其他掩护的身份,包括付款记录合同。几天后联络告知需要挂载我们的硬盘,我们要派人过去现场安装硬盘维护,对方说让我们快递邮寄我们说数据保密不方便。

2.两个人驱车过去,全程戴帽子,电话用掩护身份的,进机房sfz也没看。联系机房管理员,简单登记带我们进机房,第一天进去踩点到目标服务器跟我们租用的机柜隔三个机柜,因为机架里服务器都贴了标签,包括服务器型号,硬盘架指示灯数量和闪烁状态估摸了哪些硬盘是一组数据盘。运气很好摄像头监控死角,机柜间没有监控。

当时现状就是一直无法提权,有限的权限的shell可以看到了对方硬盘型号参数,sas做的raid10。

3.第二天立马去京东采购了四块一模一样的硬盘,成本高呀,收件信息设置在离我们在X州宾馆地点10公里左右一个学校门口菜鸟驿站。还买了一样的硬盘架。

4.X州呆的第四天,联络第二次进机房维护,这次一个人去的,进去机房后迅雷不及掩耳之势,戴上橡胶手套抽掉硬盘,换上准备好的新盘的,打扫痕迹十分钟后离开现场。其中再拔四块盘还是两块盘的纠结中,领导说全部吧就心一狠。

5.回单位,恢复raid状态,服务器挂载,读取数据,整个数据库全在,而且刚好是对方服务器的从盘,也就是抽掉这组raid不影响服务器系统运行,对方服务器都没宕机中断,数据可能内存里还在可能都不中断服务,神不知鬼不觉。据说后面是隔了半天对方才发现服务器出故障,据说连机房管理员都一直都没发现硬盘被替换了。可想而知这种公共IDC机房多不安全,至少也要用VIP鸡笼。

目标完成,拿到完整数据,费时一周。全套下来不到一万成本。

果然高端的黑客往往是最朴素的攻击方式。




  

相关话题

  如何看待「护苗 2015」行动? 
  黑客有可能攻击已经关机的电脑吗(有电源,网线连着)? 
  普通民众应该如何防范 GSM 劫持和短信嗅探所带来的安全隐患? 
  第三方或者苹果真的不能看到你的 iMessage 内容吗? 
  XSS 攻击时怎么绕过 htmlspecialchars 函数呢? 
  全球最大肉食品加工商遭网络攻击关停,白宫称:黑客可能来自俄罗斯,事实可能是怎么样的? 
  中国内地的iCloud服务转由云上贵州运营意味着什么? 
  如何看待黑客组织Anonymous声称特朗普杀害了爱泼斯坦以掩盖犯罪事实? 
  百度云“您下载的内容包含违规信息”,有什么方法可以下载? 
  联合权限(Federated Identity)的架构问题? 

前一个讨论
这次MU5735失事是不是比以往的空难都严重?
下一个讨论
什么样的学生最坑导师?





© 2024-11-21 - tinynew.org. All Rights Reserved.
© 2024-11-21 - tinynew.org. 保留所有权利