记对某根域的一次渗透测试

朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全设为星标”,否则可能就看不到了啦

原文首发在先知社区

https://xz.aliyun.com/t/15026

前言

两个月之前的一个渗透测试项目是基于某网站根域进行渗透测试,发现该项目其实挺好搞的,就纯粹的没有任何防御措施与安全意识所以该项目完成的挺快,但是并没有完成的很好,因为有好几处文件上传没有绕过(虽然从一个搞安全的直觉来说这里肯定存在文件上传),那话不多说,进入正题吧。

步骤

拿到根域,简单进行一个子域名收集,利用360quake搜索,发现大量gitlab服务,我猜测是蜜罐并且很难从这一点进行利用,所以只是简单的使了几个弱口令和CVE历史漏洞,发现没什么利用点就找下一个去了

然后这里也没有什么技巧,就一个一个子域名先访问一下,就这么简单的找到了好几个弱口令漏洞(心里暗想终于可以水一下洞了)

弱口令直接拿下

进入网站发现是thinkphp框架基础上搭建的thinkcmf内容管理系统,然后看了一下版本只有thinkphp存在,通过报错发现是5.1.40版本,去搜了下该版本是否存在历史漏洞,发现有,但是没利用出来,我想大概是修复了或者种种原因没有利用成功,那咱们也不浪费时间,先看其他的

然后发现该网站泄露了邮箱账号等信息,我心想这不就有了嘛,但是没有登进去,我猜测大概是改了密码但是改处账号信息情况没有即使更改,但是也并不代表就完全没有其他用了,可以用来进行钓鱼等操作啊,而且该邮箱账号的发件人是公司财务部的邮箱

发现上传设置处可进行文件上传设置后缀名称,但是实际操作发现并不能成功上传,此后台有多出文件上传点都没有,而且这个cms版本是没有爆出过漏洞的,所以此处文件上传应该是比较难搞的

通过各种...发现七牛云存储的aksk泄露,这还得了,直接连上去看看是不是真的aksk啊,不仅发现能够连接,而且此云存储服务器还有此根域下面的其他子域名的文件等信息,我猜测所有子域名下的云文件都在该文件服务器上,仅仅一个域名就有高达50G左右的文件,其他两个文件也有10G左右

图片

除了最重要的文件服务器aksk泄露以外,还有短信APPkey泄露,以及微信小小程序key泄露,可直接获取access_token信息

发现该域名也存在弱口令并且也是使用的THINKCMF内容关系系统,和上面的模板一摸一样,但是弱口令密码不一样

资产管理系统弱口令

发现使用的是laravel框架,但是该版本不存在漏洞

除此之外在文件上传处可进行文件上传还是,黑名单过滤,我使了很久发现可以上传php2后缀文件但是无法进行解析,没办法,实力太菜了没拿下来,只是简单的上传了一个html文件类型的XSS混个洞

图片

发现该域名下也存在弱口令

并且该文件可以进行文件上传,此处文件上传处是白名单过滤所以大概率也G了

总结

大概流程就这样,其实大部分都是弱口令进去然后找功能处进行测试,然后的话后面还发现了许多弱口令和上面几处案例都大同小异就没贴出来,并且在后续的文件服务器中发现大量身份证等信息。其实该项目挺简单的,基本都是弱口零,而且很多cms,thinkphp框架还有laravel框架都报出过许多漏洞,奈何本人实力不够无法进一步利用。