某次市护总结
A_Snail Lv3

某次市护总结

免责声明

本次测试均在有授权,且在现场符合要求的情况下进行测试,请大家切勿非法渗透。

传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢

查看评分标准,收集资产

这次数据分给的比较高,所以重点是找数据

思路分析

  1. 0-nday攻击 内网横向 获取敏感数据
  2. 弱口令爆破OA以及其他后台系统
  3. sql注入拿到数据库权限
  4. wx公众号资产测试

0x01 公众号入口

现在大多数的web资产都部署有waf等设备,部分企业的小程序或者微信公众号可能会有所忽略,可以尝试从apk或者公众号以及小程序入手
本次主要是从微信公众号获取挂号链接进行id遍历,从而获取到整个医院的所有数据 其中身份证、手机号、姓名以及病例信息等。

image

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
POST /WxApp/xxx HTTP/1.1
Host: x.x.x.x
Connection: close
Content-Length: 620
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36 NetType/WIFI MicroMessenger/6.8.0(0x16080000) MacWechat/3.8.1(0x13080110) XWEB/30626 Flue
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: *
Referer: *
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh
Cookie: JSESSIONID=

params={"REQ_HEAD":{"TRAN_CODE":"xxx"},"REQ_BODY":{"tradeType":"xxx","InHead":{"BusinessNumber":"xxx","TerminalNumber":"xxx","CooperationUnit":"xxx"},"InBody":{"PatientId":"xxx","BeginApplyTime":"2023-x-x 00:00:00"}}}&time=xxx&sign=xxxx

点击查询,抓包其中PatientId参数可控,可以遍历id,从而获取其他用户数据 由于参数过大,这里只遍历后5位,证明存在即可。

image

查看响应

image

image

可以看到门诊数据身份证等敏感信息。修改id可以达到遍历全院所有医患数据。

0x02 暴力破解YYDS

暴力破解常见思路

  1. 无验证码
  2. 验证码可复用
  3. 提示账户不存在/密码错误
  4. 前端校验 修改返回码
  5. 传输加密 (这种需要js逆向分析)

无验证码模式

针对无验证码的模式,我的思路一般是直接字典一把梭哈 用户可以利用常见的 admin test ceshi 123 sysadmin

fuzz字典推荐 :https://github.com/TheKingOfDuck/fuzzDicts/tree/master

密码可以先跑弱口令,无果可以尝试生成社工字典。github一搜就有一大堆

image

我个人喜欢用 https://github.com/zgjx6/SocialEngineeringDictionaryGenerator

image

验证码复用

这种其实遇到的其实蛮多的,很多时候有的师傅看到验证码就直接跳过了,其实很多时候的验证码是可以直接复用爆破的,也有的是删除验证码字段即可绕过,思路就和无验证码是一样的。

账户不存在/密码错误

image

image

这种是我最喜欢的了,这种是首先跑一遍用户字典,密码我通常会填123456 然后看回显。回显密码错误的就直接搞个大的密码字典直接跑,有时候运气好,还能跑出来几个123456 密码的用户

案例

这里遇到的是一个医院的OA系统

以前爆破OA从来没有成功过

image

后面发现是自己姿势不对,跑字典的时候害怕太慢了,所以跑了小一会就直接放弃跑路了

其实不然,很多时候等待字典跑完可能会有惊喜,我用的是一个爆破OA账户的字典,有差不多2w条,抱着不会成功的态度,跑着就丢在那里了,测完另外几个才想起这里还在跑,然后回来发现有个用户提示密码错误,然后手动测了一下几个弱口令,然后123进去了

image

这里密码base64了一下 也算是加密传输中的一种,不过太简单了,这种bp也可以直接跑。

image

这里直接拿到4个账号,然后可以直接对这4个账号进行遍历密码爆破,最后成功进入后台

image

前端校验

这种有,但是不咋多 常见的就是去前端js查看正确返回的响应码是多少,然后拦截返回包,直接修改,有的是改true 然后删除一些msg 什么的,

废话不说 直接上案例

image

正常情况错误返回500,还有其他的信息 修改500为200 登录成功

image

image

成功进入后台,也能获取到数据。

image

0x03 0-nday

思路就是 多总结收集常见的OA以及每年HW爆出来的常见的利用漏洞

例如 OA 利用常见的OA利用工具进行利用,或者自己有的0day或者未公开利用的1day啥的。 然后再进入内网横向,翻一翻配置文件什么的。

image

这里大佬也是直接穿越了三个网络 由互联网->教育网->内网
image

另外,旁边大佬还掏了个图书馆的0day 没好意思要 hh

0x04 互联网虚拟云桌面

这里也是运气好,直接用弱口令就进了云桌面。

image

直接上线cs读了密码,起代理远程控制连接,也是拿到了财务管理系统的权限 拿到了不少数据

image

同时还扫到内网几个ms17010

总结

以上内容仅代表个人看法和观点,不足的地方还望各位大佬指正。

另外还有不少成果处理太麻烦就不写了,还有是依一些是大佬的成果,我写出来也不好,hh 主要是分享一下个人的一些心得和思路。

总之是跟着大佬学到了不少东西,不论是外网打点,还是内网的一些横向手段。大佬总是很低调,说话也很谦虚。只是在某个不经意之间,就直接偷偷拿了shell。

image

image

image

总之,学无止境,永远不要停止脚步!