前言

作為一個(gè)漏洞挖掘者，你會拿任意文件讀取漏洞做些什么?

作為一個(gè)系統(tǒng)維護(hù)人員，你會在系統(tǒng)維護(hù)主機(jī)桌面保存什么重要信息?

[[376092]]

背景

前不久，我接到一個(gè)滲透測試項(xiàng)目，一共8個(gè)域名。領(lǐng)導(dǎo)給的期限是2周。我總覺得一個(gè)人做項(xiàng)目缺少點(diǎn)激情。想起我的狗友-單身狗大強(qiáng)。我跟領(lǐng)導(dǎo)申請，我和大強(qiáng)共同完成這個(gè)滲透測試的項(xiàng)目。很快,在項(xiàng)目周期改為一周的前提下,我們兩個(gè)開干了?？蛻糁惶峁┝硕鄠€(gè)用戶系統(tǒng)的測試賬號，未提供管理系統(tǒng)的測試賬號，但是管理系統(tǒng)還在測試范圍。經(jīng)過四天的艱苦卓絕的努力下，不負(fù)所望，我和大強(qiáng)挖到了不少漏洞，細(xì)數(shù)戰(zhàn)果，邏輯漏洞一大堆，系統(tǒng)漏洞也不少，可以愉快的交差了。但是，唯一缺少的就是一個(gè)shell，作為一個(gè)資深漏洞挖掘人員，知道滲透測試的目標(biāo)是更多的發(fā)現(xiàn)問題，不以shell為終點(diǎn)。但沒有拿到shell心里總覺得有一絲絲遺憾。就像將軍拿下城池但未見敵軍首領(lǐng)一般。

過程

在整理報(bào)告的時(shí)候，我發(fā)現(xiàn)大強(qiáng)的漏洞報(bào)告里有一個(gè)XXE漏洞，并且還是回顯的。仔細(xì)的研究后發(fā)現(xiàn)，這個(gè)接口是整個(gè)系統(tǒng)登錄后的的統(tǒng)一參數(shù)入口。系統(tǒng)解析到xml里的方法后，再根據(jù)對應(yīng)的方法執(zhí)行響應(yīng)的邏輯。按耐不住內(nèi)心的躁動，我和大強(qiáng)開始了通過fuzz找各種敏感文件。

經(jīng)過各種嘗試，讀取了大量系統(tǒng)敏感信息。但是對Get shell幾乎無任何幫助。大強(qiáng)幾乎要放棄了。此時(shí)，我盯著大強(qiáng)的電腦屏幕、發(fā)現(xiàn)他桌面放著1.txt、2.txt等等文件。真巧，我桌面也使用簡單命名，放著一些重要的臨時(shí)文件。靈機(jī)一動、是不是有不少人也為了圖方便，在桌面存儲一些不易記錄的敏感信息。接著，我們直接對管理員桌面文件進(jìn)行了fuzz。在一番嘗試下，我們找到了111.txt、123.txt、pwd.txt臨時(shí)文件。其中發(fā)現(xiàn)pwd.txt文件中存儲著一些網(wǎng)址及對應(yīng)的賬號密碼，以及一些零散的字符串，貌似像密碼。此時(shí)我和大強(qiáng)笑出了鵝叫聲，他叫囂著要教管理員如何做人。

我和大強(qiáng)立即對這個(gè)目標(biāo)主機(jī)進(jìn)行了全端口服務(wù)掃描。發(fā)現(xiàn)這個(gè)主機(jī)開放著21、80、443、3389、6379、8080、8085、8086服務(wù)。我和大強(qiáng)盤算著，利用讀到的6對賬號密碼中的某一個(gè)直接登入3389。懷著激動的心情，進(jìn)行了一次又一次的嘗試。然而畫風(fēng)是這樣的：

進(jìn)入3389失敗。。。

進(jìn)入ftp失敗。。。

進(jìn)入redis失敗。。。

由于讀取到的鏈接地址是內(nèi)網(wǎng)系統(tǒng)，根本沒有進(jìn)入的機(jī)會。

......

各種服務(wù)進(jìn)入失敗后，我們嘗試進(jìn)行了對3389、ftp等服務(wù)的爆破。仍然沒有結(jié)果。我們對目標(biāo)地址的8085和8086端口直接訪問時(shí)，也沒有任何服務(wù)直接展示。但是發(fā)現(xiàn)8085和8086服務(wù)連通性很不錯(cuò)。

我們通過度娘努力尋找著可能存在8085和8086默認(rèn)端口的服務(wù)信息。但依然無所獲。

此刻，大強(qiáng)教管理員做人的叫囂聲也消失了。

等等，這不是結(jié)束，這樣結(jié)束太草率了。我閉上眼，隱隱約約~仿佛好像在哪見過把這兩個(gè)端口做默認(rèn)端口的服務(wù)。經(jīng)過大腦高速運(yùn)轉(zhuǎn)，以及一些殘余的記憶。想起了多年以前遇到的treeNMS和treeDMS兩個(gè)管理系統(tǒng)，默認(rèn)端口就是8086和8085。經(jīng)過驗(yàn)證，這次沒讓我和大強(qiáng)失望，就是這一對兄弟系統(tǒng)。我們利用通過XXE任意文件讀取漏洞讀取到的admin賬號密碼組合。首先成功的進(jìn)入了treeNMS系統(tǒng)。

登錄到treeNMS

查看系統(tǒng)數(shù)據(jù)，What F**K,這個(gè)管理端是空的。Redis沒有任何的信息。莫慌莫慌，還有DMS系統(tǒng)呢。懷著忐忑的心里繼續(xù)嘗試登入下一個(gè)。

登入treeDMS

此刻心情是無比激動的，大強(qiáng)的叫囂聲又回來了。管理端一共有三個(gè)賬戶，密碼是通過MD5存儲的。經(jīng)過反查，成功查到兩個(gè)賬號的密碼。直接登入?？纯茨懿荒苡兴斋@。

登入后臺

果然不出所料。這個(gè)商品管理后臺系統(tǒng)還是比較脆弱的。對上傳類型的文件沒有做限制，我們通過圖標(biāo)設(shè)置模塊，進(jìn)行文件上傳直接拿到了shell。當(dāng)然內(nèi)心的那份遺憾已經(jīng)得到了很好的彌補(bǔ)。

本著一顆紅心，既然進(jìn)到了后臺，并且在測試范圍，我們在客戶的授權(quán)下，對這個(gè)后臺系統(tǒng)做了全面的漏洞挖掘。也挖到了不少的漏洞。我們在項(xiàng)目截止時(shí)間的最后一刻，完成了所有目標(biāo)的測試工作。交了一份比較完美的成果，也沒有留下什么遺憾。雖然過程沒有多么跌宕起伏，但還是值得我們總結(jié)。

總結(jié)

漏洞挖掘與利用的過程，不僅僅是挖到一個(gè)漏洞，就簡單的利用該漏洞可能帶來的直接效果。而是通過某一漏洞不斷尋找，突破思維限制，在任何可以關(guān)聯(lián)的事件中，尋找最大化的利用程度。為什么在漏洞挖掘與利用的過程中，你總是覺得別人都夠能找到一些你找不到的突破口。這個(gè)問題可能是你知識面比較窄，但也可能是你的思維受到限制。所以，不要讓慣性思維限制了你能力的進(jìn)步。所以漏洞挖掘就是先拼技術(shù)能力，再拼思維。在技術(shù)達(dá)到某一程度后，思維決定了發(fā)展的高度。