0x01 转角遇shell

背景

参与项目许久，资产列表不刷新，实在整不出什么花活了，开始仔细看资产

测试

按照惯例对资产列表使用Tscan进行信息收集，一个系统进入我的视线，开启端口扫描，访问系统：

停用公告？为什么停用没有下架呢？直觉告诉我有问题，注意到网页最下面一行貌似还有字，再结合这个夸张的构图比例，看看手机模式下长什么样吧，打开设备仿真

没有什么有用信息，好像只是一静态页面，回头看看端口，开放了1234和5678端口？有点意思，看看1234端口的服务

标准的登录页，弱口令测试无果；看看登录数据包，尝试去爆破

好家伙，验证码都不用绕了，直接逆向js加密逻辑即可，我一般习惯搜索encrypt(，大部分情况可以快速定位到加密函数

经典aes，cbc，zeropadding加密模式，key和iv同为参数o，用wt-js测试也对上了，顺带生成加密方案脚本。

使用burpCrypto插件，为防读者有人没用过这个插件，附上操作说明

固定admin用户来爆破密码，只需在payload处理中勾选调用burp扩展，选择新加的处理器就可以了

成功收获弱口令x1

一枚弱口令怎么够塞甲方dad的牙缝，对1234端口进入后台渗透未果后回头再看看5678端口，又是经典spring报错界面，本来想扫描看看有没有actuator泄露，一番测试后发现一个这玩意儿：http://ip/index

觉得应该是为本系统提供服务的另一个服务端，得到授权后继续进一步渗透该serviceurl目标

发现swagger文档

水洞这不就来了嘛（喜）

进一步调试swagger接口，使用swagger-hack，狗运开始发力

获得实时定位等大量敏感信息x1

觉得还不够，又翻到http://ip//account/user端口，响应出现熟悉的deleteMe，shiroattack尝试一把梭，命令执行x1

下机~

0x02  重逢银光

背景

去年在同一ip交出几个漏洞后，今年又和该项目相逢，周转了一周时间在发现只有一些以前没修好的弱口令和一些无意义的泄露水洞外一无所获

测试

在我对该ip的几个web服务愁眉苦脸时，我注意到了一些去年发现但当时并没有留意的服务

关键字：Microsoft sliverlight

什么是Microsoft sliverlight？

Silverlight是微软所发展的 Web 前端应用程序开发解决方案，是微软丰富型互联网应用程序（Rich Internet Application）策略的主要应用程序开发平台之一，以浏览器的外挂组件方式，提供 Web 应用程序中多媒体（含影音流与音效流）与高度交互性前端应用程序的解决方案，同时它也是微软 UX（用户经验）策略中的一环，也是微软试图将美术设计和程序开发人员的工作明确切分与协同合作发展应用程序的尝试之一。

一句话，对标flash，在电脑下载插件做更强的网页应用。

但是对标flash，这个年代怕是有点久远。果然，让我搜到了一篇2011年的学习笔记

一个想法出现在我脑海中，既然是这么久远的版本，那我切换ie兼容模式看看呢？下载插件后我打开了ie兼容模式，眼前一亮

太好了是登录框，我们有救了

于是输入账号密码开始尝试抓包，？，为什么没有抓到包，怀疑是ie兼容模式的问题，上网搜索解决方案，参考https://blog.csdn.net/m0_56147044/article/details/146919837 解决抓包问题。

系统登录依旧采用aes加密，如0x01相同操作js逆向即可解密，爆出弱口令admin/qwe123

一眼发现系统存在数据查询模块，再一眼，直接执行sql进行查询？我心想那这不直接结束了，这种老系统采用的一般都是.net/mssql架构，而mssql权限足够可以直接rce，尝试执行sql，可惜没有成功，再翻一翻功能点，万一有上传呢？

好消息是找到了，坏消息是上传失败了，看看数据包吧

提示为 未能找到路径“xx”的一部分，留意到数据包存在path参数，难道是这个？

置空path后，上传成功且路径全回显，经测试后缀无任何过滤，拿到webshell，成功下机

0x03 总结

回过头来看这两次测试在攻击方面也没什么特殊的地方，重点在于细心，在一般渗透时我碰到5678端口的index页面中的url很少去考虑它的后续操作，也很少去下载页面组件去进一步渗透，从而丢失了扩展攻击面的机会；这次在授权下展开了比较丝滑的后续渗透，且重温了js逆向免脚本爆破的办法。怎么去挖难啃的项目？没有一把梭没有批量测，只有比谁的心更细。

文章来源：Tide安全团队

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END