百科问答小站 logo
百科问答小站 font logo



作为渗透测试工程师有什么有趣的经历? 第1页

  

user avatar   hei-ke-lao-niao-qiu-shui 网友的相关建议: 
      

以下主要讲述了一次内部测试任务中,如何获取到应用系统权限之后,提到最高的。可以总结为打了一套各类小漏洞的组合拳。

隐私内容已打码,不喜勿喷。

领导的一声令下,原本昏昏欲睡得我瞬间精神抖擞,原来是渗透测试任务来了,针内部运维平台的。


第二天一早,我鸡血上身。拿到测试地址后一看,心中顿时万马奔腾,傻傻得我,傻傻的一个登陆框。

不要慌,不要怕,车到山前必有路,我不断暗示着自己,随便找俩地位漏洞交差算了。这是实时使用的生产系统,这要是搞崩了,全国上下几十个分公司不对得扒了我的皮?不要扫描,千万不要搞对业务有影响的漏洞,有低位漏洞交差就行。

那么,先走一波常规信息收集。

google插件wapplyzer,查看当前系统信息。

跑一下nmap,防止防火墙拉黑,也就是常见端口探测,看看有没有搞测试用的垃圾站部署。结果嘛,看看就知道了。

系统目录也跑了下,钟馗也搞了下,没啥收获。

这样看来,只能搞手工了。神器burp上场,尽可能挖一挖逻辑漏洞。登录框仔细瞄了几眼,不要验证码?那必须对admin账号搞一波爆破。

结果是:5次错误锁定策略劝退,这还爆破个锤子。

网页源码啥也找不到,嘿嘿,居然有明文传输的包。单次撞库,非你莫属。

burp再次登场,抓包,撞库。幸亏选择topname10000撞库,用tonname500就得凉凉。

看来幸运女神还是眷顾的,跑了一万还能有两个成功的。后台弱口令的漏网之鱼,抓一抓还是有的!

这工作算是圆满了吧?可以交差了吧?

额。。。还是继续测吧!对,拿人钱财,替人消灾,我绝对不怕领导那双杀气腾腾的眼睛。

用wu**这个账号登陆进系统,得,这么低的权限怎么玩?果断换,这个可以,貌似是个领导,竟然有新建账号的权限。你看,我说运气很OK吧!

新建了个账号可以选角色了,竟然发现某个角色权限竟然现在用的账号权限更高,那还等什么,新账号systemtest闪亮登场。

新账号登进去一看,众多模块中我一眼就相中了角色管理。角色管理可以新建角色,新建的角色居然还能拥有所有模块的权限?那不盘你盘谁?

此时,成就感爆棚,最高权限这么容易就搞定了?

于是,systemtest2准备起飞。

现实的巴掌,总是在最兴奋的时候给你当头棒喝。什么最高权限啊?最高是最高了,某分公司最高。总部的最高权限拿不下来,对不起今天的幸运女神。

于是,又开始了闷头苦干,一番胡乱点击之下,居然在查看用户信息的时候看到一个极其像用户ID值的特别参数。

这样的好东西还能让你跑了?果不其然,一片新大陆瞬间呈现在我眼前!

遍历340这个值,自然就能对个人信息进行修改呀。测试之后,总算抓到了admin的账号信息。

既然用户信息可以改,越权修改密码是不是也该试一试?果然,不学会举一反三,挖不到你想要的的洞。

修改密码的URL可以越权访问。。。

接着就是解决旧密码的问题了,也不知道能不能绕过,抓包好了。

没想到,旧密码输入好之后,正要输入新密码,系统竟先判定了旧密码,这是不是就可以想办法绕过旧密码验证?

抓包抓包!判定的条件是true/false,这应该是无限接近成功了吧。

我直接就把response结果改为true,长度改为4,“咻”的一下验证就绕过去了!!!

这下就畅通无阻了,admin密码一修改,啥啥看不到?

终于结束了,又博得一次深受器重的机会。

至于拿shell,后渗透什么的就先不想了,出个报告先交差。

以上经历总结一下,想要拿到最高权限不是靠单一漏洞就能做到的,是各种小漏洞组合起来,充分利用才能达成目的。

文明传输给了我撞库的机会,因为弱口令的存在,才能撞库成功,然后利用功能上的缺陷(低权限的账号可以新建高权限账号),然后才能对admin信息进行越权访问,再来旧密码的验证绕过。你单独来看,这些小漏洞没啥风险,但是一旦遇到老手能串联起来进行利用,那就会导致严重的安全事故。无论是渗透还是其他什么,拼的都是思路,一定要活学活用。


user avatar    网友的相关建议: 
      

非专业渗透。

学校安排在某宽带公司实习销售/安装工程师。我们是划分片区的,一个组负责几个小区的销售和安装,公司规定除非特殊情况,不得去其它组的片区拉客户。

那营业厅经理看我们学生好欺负。让其它组去我们片区偷单。这能忍?又干了一周多,理清业务逻辑了。我们有工单平台,所有渠道的销售信息都记录在上边。我想着大不了同归于尽。

得弄到工单系统的地址账号密码。

营业厅内有助理守在电脑前,营业厅有摄像头, 电脑还有开机密码,想直接操作电脑不现实。

幸好有WiFi,营业厅用的小米3C路由器。

在手机上用zANTI进行中间人攻击

拿到了工单系统的IP地址但用户名和密码加密了。

晚上回宿舍用电脑看了下那个工单平台,试了admin/123456之类的简单密码,显然没人用这么弱智的密码,至于入侵?怕是难为我这个学生了

看了桌面一角的Dreamweaver

我花了两个小时做了个钓鱼网站。

就两个页面,

一个是登陆页,输入密码后get传到第二个页面,第二个页面提示:服务器响应超时,请稍后再试。(参照输错密码的页面改的),同时用php获取密码写入txt,再自动跳回第一个页面。

反复检查了,基本没有瑕疵。

但看了浏览器地址栏的127.0.0.1犯愁了,IP地址咋搞定?怎么让助理用原地址可以访问到假网站。

因为是装宽带的,对路由器比较熟悉,小米3C这款是有VPN功能的。可以指定网址/IP走VPN通道。

宿舍旁边有一家用联通宽带的,WiFi密码12345678,有公网IP。

我有个小米Nano路由器,刷了固件后可以任意修改路由器自身网段,例如改到153.100.27.x,我改成了工单平台同网段

先用自己的路由器用wisp连上邻居的WiFi,端口映射,开启VPN服务端功能。

备用机装上ksweb,把钓鱼页面放进去,连上自己的路由器,开启端口映射,把手机IP地址设置与工单平台IP一致。

第二天早早的起床,让邻居的路由器重新拨号,目的是重新分配的IP地址,保证72小时内不变。

然后去营业厅,设置好VPN,连接到我宿舍的路由器上,访问钓鱼页面正常。然后让浏览器自动刷新那个密码txt的链接,显示404。一切准备就绪,等待上钩。

15分钟后,助理来了,打开电脑...

在某一瞬间看见手机屏显示pass.txt的下载弹窗,下载!随后关闭了小米3C路由器的VPN连接。


成功拿到账号密码,晚上回宿舍登陆,获取到其它组的有意向和预约客户的信息。第二天拿私人号码给他们打电话,说客户那栋楼的机柜坏了,同楼没其它用户,要装宽带需要额外交500元安装费。


后续就是我们营业厅那个月业绩非常惨 ,营业厅经理还以为是竞争对手搞鬼。


user avatar   yan-yan-62-78-80 网友的相关建议: 
      

做惊心动魄的一次物理渗透攻击。

四年前的事,配合取证工作,不是非法的。。。。

网上正面漏洞实在拿不下,磨叽了十多天过去了,各种钓鱼也没进展。

老大一气之下,直接说:去机房,去服务器所在机房偷硬盘。

开始实施步骤。

1.先找到对方服务器ip在X州一个idc机房,通过行内人问到是哪个服务商,联络对方服务商,要了一台相邻ip的机器,带宽都要100m独的,不砍价,让服务商觉得我们爽快增加信任感,购买信息全部用其他掩护的身份,包括付款记录合同。几天后联络告知需要挂载我们的硬盘,我们要派人过去现场安装硬盘维护,对方说让我们快递邮寄我们说数据保密不方便。

2.两个人驱车过去,全程戴帽子,电话用掩护身份的,进机房sfz也没看。联系机房管理员,简单登记带我们进机房,第一天进去踩点到目标服务器跟我们租用的机柜隔三个机柜,因为机架里服务器都贴了标签,包括服务器型号,硬盘架指示灯数量和闪烁状态估摸了哪些硬盘是一组数据盘。运气很好摄像头监控死角,机柜间没有监控。

当时现状就是一直无法提权,有限的权限的shell可以看到了对方硬盘型号参数,sas做的raid10。

3.第二天立马去京东采购了四块一模一样的硬盘,成本高呀,收件信息设置在离我们在X州宾馆地点10公里左右一个学校门口菜鸟驿站。还买了一样的硬盘架。

4.X州呆的第四天,联络第二次进机房维护,这次一个人去的,进去机房后迅雷不及掩耳之势,戴上橡胶手套抽掉硬盘,换上准备好的新盘的,打扫痕迹十分钟后离开现场。其中再拔四块盘还是两块盘的纠结中,领导说全部吧就心一狠。

5.回单位,恢复raid状态,服务器挂载,读取数据,整个数据库全在,而且刚好是对方服务器的从盘,也就是抽掉这组raid不影响服务器系统运行,对方服务器都没宕机中断,数据可能内存里还在可能都不中断服务,神不知鬼不觉。据说后面是隔了半天对方才发现服务器出故障,据说连机房管理员都一直都没发现硬盘被替换了。可想而知这种公共IDC机房多不安全,至少也要用VIP鸡笼。

目标完成,拿到完整数据,费时一周。全套下来不到一万成本。

果然高端的黑客往往是最朴素的攻击方式。




  

相关话题

  你的初次渗透成功是怎么搞定的? 
  你所在的行业与城市,什么条件可以月薪一万五? 
  网络安全现在的前景是如何的? 
  请问各位大佬,渗透测试工程师和安全服务工程师每天的工作大概都是什么呢? 
  零基础如何学习 Web 安全? 
  程序员如何提高安全的编码能力? 
  如果黑客拥有一台算力无限的主机,他能做什么? 
  如何评价奥卡姆剃刀、王思聪、周鸿祎及众资安界人士在微博上关于无线网络下盗取网银密码的舌战? 
  如何系统地自学网络安全? 
  怎样防范被人肉搜索? 

前一个讨论
这次MU5735失事是不是比以往的空难都严重?
下一个讨论
什么样的学生最坑导师?





© 2024-12-26 - tinynew.org. All Rights Reserved.
© 2024-12-26 - tinynew.org. 保留所有权利