初到公司为妹子信息引发的一次渗透

初来公司实习,安全测试岗位(公司是开发公司,没有安全),刚来公司看到妹子有好多啊。观察上一个美眉,某某部门的UI。问下隔壁开发,小哥哥说不在一个楼层他也不是很清楚,只听别人一般叫雅美眉,貌似,对还没有对象貌似!(隔壁开发小哥哥猥琐的对我一笑)。打眼一看确实是我喜欢的类型,我靠这还能行,骚动,骚动。小弟出来炸到新人呢,不好意思。在哪能找到微信号、电话号码呢,一拍大腿OA啊OA。那就对OA办公系统来了一次真实的实战测试,获取美眉的手机号。

咳咳进入正题了,公司的OA办公系统在内网,首先打开链接看看是http的链接、.do结尾。(真是丑到毕的一个界面)祭出神器Struts2框架命令执行来一波,发现木有这个洞、后来问了下开发说框架改写了。

《初到公司为妹子信息引发的一次渗透》
看见两个框框,操刀burpsute,抓抓包,sqlmap跑跑搜索框注入,还是木有。就这么一个系统俩框框怎么测,御剑扫扫无解。忽然点开帮助发现有个APP,IOS和安卓端,那先下载一个APK吧。

《初到公司为妹子信息引发的一次渗透》

拿到APK后,打开神器JEB。对APK进行一个简单的逆向,分析下看看有木有存储邮箱、数据库的配置什么之类的了。《初到公司为妹子信息引发的一次渗透》
JEBv2.2.7百度云盘链接: http://pan.baidu.com/s/1jI8rNx0 密码: fgdw

随手翻了一下,没有找到邮箱之类的本地存储数据库配置啊,到是找到了APP调用的接口地址。

《初到公司为妹子信息引发的一次渗透》
测试了下几个内的接口只有一个能访问,http://192.168.xxx.xxx:9080/axis2/,刚看到axis2这个东西第一次见并不知道是什么,百度搜一下存在弱口令,竟然可以通过Axis2部署webshell,抓紧尝试一下看看。默认的账号是:admin密码是axis2,成功登录。
但是需要一个aar格式的马这是什么鬼,从网上找了一个教程有个马和视频照着搞一下,点击upload service,然后File Cat.aar successfully uploaded 上传成功了

《初到公司为妹子信息引发的一次渗透》

访问getClassPath,完整路径。

http://192.168.xxx.xxx:9080/axis2/services/Cat/getClassPath
获取到了Tomcat的工作路径

《初到公司为妹子信息引发的一次渗透》
访问,直接执行CMD这真的很酷。
http://192.168.xxx.xxx:9080/axis2/services/Cat/exec?cmd=whoami

《初到公司为妹子信息引发的一次渗透》

这个格式的马儿据说还能转发端口,既然都在内网我就不转了直接3389也能登录吧,爽了直接net user guest /active:yes ; net user localgroup administrators guest /add

登陆上自己本地见个FTP,把mimikatz复制进去,

执行:
mimikatz.exe “”privilege::debug”” “”sekurlsa::logonpasswords full”” exit >> log.txt 看下管理的密码,公司的简称JJ了。

Cat.aar格式马和教程地址:http://pan.baidu.com/s/1i346rLN

这才是一个接口的还不到目的。那接口不都得配置数据库么,继续找到了一个oracle的配置文件直接拿Navicat Premium怎么也没连上,尴尬了。《初到公司为妹子信息引发的一次渗透》

后来转念一想,是不是数据库的服务器也是一样的密码管理。。。。。。直接登录了。这安全意识让我如何是好。《初到公司为妹子信息引发的一次渗透》

数据库有了找找妹子名字,还好没有重名的,密码md5解密,上去OA看看。妹子信息有了,上去看看,瞅瞅电话加个微信,比我大几天哦,666666很合适慢慢来。(嘿嘿嘿淫荡一笑,就是不给你们看比)

《初到公司为妹子信息引发的一次渗透》

后来转念一想,APP既然在外边能用那外网肯定也能访问,在APK逆向那里往下翻找到外网的IP,访问以下果不其然一样的,想了想如果从外网部署jsp下的reGeorg直接转发从外网到内网还是挺可怕的。抓紧跟管理进行了一下商讨对漏洞进行了修复,管理安全意识惹的祸。

 

点赞