针对某C/S架构系统的渗透测试

文章来源：酒仙桥六号部队

前言

本文主要记录了某次金融类客户项目中遇到的一个C/S架构系统的渗透测试，多个漏洞组合最终导致的内网沦陷。

前期准备

首先打开目标站点

默认页面无任何交互点,使用dirsearch进行简单扫描发现存在/config目录

访问后发现可直接列目录

换用更强大的目录字典之后,扫描出了一个配置界面config.jsp

通过网上搜索这个系统的相关手册得知系统默认用户名为:系统管理员 密码为:12345尝试登录发现默认密码已经修改,通过Burp挂载somd5top10w字典爆破无果

目前在Web端暂时没发现什么问题，把注意力回到他的Index页面上，页面下方写了需要运行ActiveX控件，将浏览器调整至兼容模式，安装控件后弹出了客户端安装界面

下载安装完成后，运行客户端以后发现系统默认已经显示了用户号和用户名称等信息

尝试了默认密码12345以及其他常见弱口令均无果，尝试修改用户号为admin发现系统会自动帮我删除掉，怀疑用户号只能为纯数字

这个时候有意的事情就来了，当我尝试输入123、12345等用户号的时候，系统依旧会自动帮我删除输入的内容，但是在输入01、02、9999等用户号的时候，下面会有信息显示

看到这个我的第一反应是想到了以前在学校期间研究过的X方教务管理系统，某些版本的X方系统是内置了数据库账号密码在程序里，程序直接与数据库交互的，想到这赶紧下载个Cain嗅探一下看看

然而很遗憾，Cain并没有嗅探到数据库信息，那么尝试安装Proxifier，将客户端的流量代理到Burp康康

配置好Proxifier，将流量全部转发出去，然后Burp查看抓到的包

从Burp抓到的包来看，SQL语句是加密传输的，但是翻了几个包以后，忽然发现有个XML的请求，直觉告诉我这里很有可能存在XXE

SSRF

尝试将上面Burp抓到的XML请求的包内容进行修改，指向自己的服务器

果然存在XXE，但是测试了命令执行，文件读取等，均无法实现，只能当作SSRF进行简单的内容探测。

前OD调试

还是回到客户端上，客户端虽然加密传输了SQL语句，但是在程序运行的时候，内部肯定还是要解密成明文来校验的，那么可以尝试使用ollydbg来调试程序，从程序运行过程中读取到他解密后的内容。 

最终通过OD抓取到了系统管理员的密码，也成功登陆到了Web端的配置界面，在Web界面里可以看到使用的是SQLServer数据库，但是数据库是内网地址，密码可以通过F12直接查看到。

前Quake搜索

但是问题来了，数据库是内网，目前所拥有的洞并不足以链接到数据库，去反编译程序找加密算法又有点麻烦，回头看了眼Dirsearch的扫描结果，其中有login相关的接口，但是这个客户端明明只和servlet接口通讯，那么这套系统肯定还存在一个登陆接口，到Index页提取特征，使用Quake搜索互联网上的其他这台系统，还真找找不少

通过对互联网上其他这类系统的手工测试，果然发现存在一个login.jsp的登陆界面

在Web登陆界面中，输入用户编码0000，Web页面也会直接返回用户姓名

使用Burp抓包，将地址改为目标IP，发现目标果然只是删除了登录页，但是接口还在

直接在code字段打上标识，SQLMAP一把梭！

很舒服，SQLServer2008的数据库，DBA权限，堆叠查询，测试了下，目标只能DNS出网，CS配置DNS，直接上线！

内网简单的探测了下，因为客户没有授权，所以没有继续深入

总结

在这次渗透测试中，目标客户端虽然使用了加密传输，但是客户端本身未做反调试，可以通过Od直接附加进程。
客户服务器虽然限制了正常的出网，但是未对DNS协议进行限制，导致了CS使用DNS协议直接上线。
在Quake寻找互联网类似系统进行测试找SQL注入纯粹是因为我对逆向还不是很熟。
如果是换成其他对逆向比较熟悉的师傅，完全可以做到逆向客户端找到加密算法，来实现SQL命令任意执行。