渗透测试实战-菠菜站渗透测试(Nacos反序列化漏洞利用)
免责声明:文章来源于真实渗透测试,已获得授权,且关键信息已经打码处理,请勿利用文章内的相关技术从事非法测试,由于流传、利用此文所提供的信息大概工具而造成的任何直接大概间接的后果及丧失,均由利用者本人负责,所产生的统统不良后果与文章作者无关。该文章仅供学习用途利用。一、信息收集
1.站点是一个正常的80端口开放的http服务利用nginx举行搭建,对其目录举行了扫描,没有得到什么能利用的信息
https://i-blog.csdnimg.cn/direct/29f450a286f5414c8a5a9e96d4987a62.png
2.类似的站点通常会开放22或3389来举行远程维护,通过扫描端口发现了一些意外劳绩
该服务器开放了大量的端口,其中不止有3306、6379这种数据库服务端口、3389远程rdp端口、还存在大量http服务端口,注意到其中存在8848,大概存在nacos体系
https://i-blog.csdnimg.cn/direct/e92a3ac073194592922aff8e61e3e6c7.png
3.通过测试大部分开放HTTP服务的端口下都没有网站,不过也是有劳绩,加上刚开始看到的主站共有四个登录框,其中Seata分布式事务服务体系存在弱口令,直接就登岸进去了
Seata-Server:seata/seata
https://i-blog.csdnimg.cn/direct/2015bb6b45e14464acefc3833cf09cee.png
惋惜登录进去后什么信息也没有,之前没相识过这个体系搜索了一下,似乎没有什么能利用的
https://i-blog.csdnimg.cn/direct/8ddac3941b12493b879f5f6c5b623225.png
4.另有另外两个站点,对象存储体系和一个类似令牌存储的站点,尝试弱口令均没有成功
minio服务器:minioadmin/minioadmin
https://i-blog.csdnimg.cn/direct/52e6253ffa2948a28e2486dea2e35a14.png
https://i-blog.csdnimg.cn/direct/ebf82a0e7b3145e8a7b34d5cfd2be6e1.png
4.之前说发现了开放了8848端口的,利用字典举行扫描,果然发现存在nacos体系,而且通过字典扫描目录未授权获取了nacos的暗码
https://i-blog.csdnimg.cn/direct/de431d97c39f461bb605bcde62be6cde.png
未授权访问地点:
/nacos/v1/auth/users?pageNo=1&pageSize=1
可获取已经注册过的账号和加密后的暗码
https://i-blog.csdnimg.cn/direct/cc3ba0bbd4b84fe1a95ad6689cb8c0b6.png
https://i-blog.csdnimg.cn/direct/393ae3ee0ec84c3f8e03c9607ea49171.png
二、实战环节
1.直接利用nacos漏洞扫描工具举行漏洞扫描,发现其版本为2.0.3且存在多个版本漏洞
漏洞名称: Nacos token.secret.key默认配置(QVD-2023-6271)
漏洞描述: 开源服务管理平台 Nacos 中存在身份认证绕过漏洞,在默认配置下未对 token.secret.key 举行修改,导致远程攻击者可以绕过密钥认证进入后台,造成体系受控等后果。漏洞影响版本: 0.1.0 <= Nacos <= 2.2.0
漏洞名称: Nacos User-Agent权限绕过(CVE-2021-29441)
漏洞描述: 该漏洞发生在nacos在举行认证授权操纵时,会判定哀求的user-agent是否为”Nacos-Server”,假如是的话则不举行任何认证。开辟者原意是用来处理一些服务端对服务端的哀求。但是由于配置的过于简单,而且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。
漏洞影响版本: Nacos <= 2.0.0-ALPHA.1
漏洞名称: Nacos Derby SQL注入漏洞 (CNVD-2020-67618)
漏洞描述: config server中有个接口,没有做任何的鉴权,即可实行sql语句,可以泄漏全部数据
漏洞影响版本: 与Nacos版本无关,看是否利用了内置的Derby数据库
漏洞修复方案: 对接口接口鉴权, 修改 nacos的application.properties配置文件nacos.core.auth.enabled=true,开启服务身份辨认功能
https://i-blog.csdnimg.cn/direct/7d028aa9034a4f95a8c742fdaf566930.png
2.利用权限绕过漏洞创建test用户登录nacos体系,检察体系配置(注意退出后清除该用户)
https://i-blog.csdnimg.cn/direct/4c93f66e9a49471d8cffb43eb0f6b063.png
3.两个反序列化漏洞都需要手动测试,在测试后竟然发现该服务器存在Nacos Jraft Hessian反序列化漏洞,注入内存马后实行下令直接回显了Administrator权限
漏洞名称: Nacos Jraft Hessian反序列化漏洞(QVD-2023-13065)
漏洞描述: nacos默认的7848端口是用来处理集群模式下raft协议的通讯,该端口的服务在处理部分jraft哀求的时候利用hessian传输协议举行反序列化过滤不严,导致RCE
漏洞影响版本: 1.4.0 <= Nacos < 1.4.6 和 2.0.0 <= Nacos < 2.2.3
https://i-blog.csdnimg.cn/direct/e090198299f4476980a93a8681e06c67.png
4.直接上webshell管理工具(我比较习惯用哥斯拉)利用注入的内存马举行上线
注意需要设置哀求头,哥斯拉的设置为:
x-client-data: godzilla
Referer: https://www.google.com/
成功上线,利用下令检察服务进程,分析后发现似乎只有windows自带的杀软
tasklist /svc 检察所有正在运行的进程及其服务信息
https://i-blog.csdnimg.cn/direct/4743cfd5f6dc493d8b376c0c00e0740a.png
5.上线fscan对内网服务举行扫描,扫描后发现内网只有服务器一个地点,但是扫描出来了redis未授权访问
https://i-blog.csdnimg.cn/direct/0ec48a1098b14839b535d6616a939f73.png
6.照旧老套路,直接注入suo5内存马,做正向代理,访问redis数据库
https://i-blog.csdnimg.cn/direct/63b47b28a365456c8c1baabcce5132f4.png
成功连接redis服务器,其中存放着主站的账号,暗码,ID等信息(经过测试后发现mysql数据库已经不再利用了,无法渗透)
https://i-blog.csdnimg.cn/direct/1990644b56ea4d84a97589335503467b.png
6.到了这个时候其实已经拿下这个站点了,获得了所有的信息,但是想到最初扫描的端口目的就是为了拿到远程连接,而且已经获得了管理员用户权限完全可以创建一个新用户举行远程RDP登录,但是想尝试一下能不能获取管理员用户的暗码,随即上传mimikatz尝试获取体系中账户的暗码
通过下令检察当前服务器用户账户信息,发现服务器中存在多个用户
net users 列出所有用户账户
https://i-blog.csdnimg.cn/direct/7101450e4d324790a16de0269cb6a979.png
mimikazt利用下令读取暗码信息,获取Administrator等多个用户暗码
mimikatz.exe "privilege::debug" "token::elevate" "sekurlsa::logonpasswords" "lsadump::sam" exit
privilege::debug:提升进程的权限到 DEBUG 级别,这通常是为了获取对体系进程更多的控制权,包括读取其他进程的内存空间。
token::elevate:提升当前访问令牌的权限,这通常用于绕过用户账户控制 (UAC) 或获取更高权限的操纵。
sekurlsa::logonpasswords:尝试从当地安全机构子体系服务 (LSASS) 进程中提取当前登录用户的暗码信息。
lsadump::sam:从当地 SAM (Security Account Manager) 数据库中转储用户账户信息,包括暗码哈希。
exit:退出 Mimikatz。
webshell并不能做到真正的交互式回显,所以需要连起来一行实行下令(mimikatz是提供这种实行下令的方法,同样也能交互式输出)
https://i-blog.csdnimg.cn/direct/3d10623c8e2b40aa959dbde794e83412.png
7.利用Administrator用户账户/暗码成功登录菠菜网站服务器
https://i-blog.csdnimg.cn/direct/a6fbc49e908c45ebad3c5a90ca0e0a1e.png
三、总结
成功拿下了菠菜网站的服务器,举行了远程桌面连接,通过最后登录和公网IP的查找也发现该服务器是一台云主机
感觉这次渗透统统都太顺遂,服务器完全不设防,汗青漏洞也没有修复,没什么技术含量,主要是对各种工具的利用,各位大佬当爽文看就行,盼望以后各人做渗透测试的时候也都能碰到这样的站点
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]