连续三天在某公司做渗透测试,真严格啊,进去不允许带手机,大门武警站岗,都配枪的。哈哈哈... 由于严格的限制,没有电脑,没有U盘等,只能在甲方做个临时渗透测试的机器。用的是内部员工的一台电脑,还给找了很久,可怜的,windows7系统,做了ghost镜像后,我们开始使用。
装了python,jdk,tomcat,awvs等,破解awvs时候出现问题,破解程序的后缀名会被自动命名为无法执行的后缀名,退掉所有杀毒程序都无解,找不到哪个程序在监控,最后放弃。
安装测试环境的时候,由于准备不足遇到了一些问题
1,oa使用了https,再用burpsuite生成证书的时候遇到了问题,原因是使用的burpsuite版本过低。更换burpsuite1.7后解决。
2, sqlmap.py 执行失败,原因是sqlmap放到了中文目录里。
3,网站自身必须使用代理访问,127.0.0.0:8899,这样的话,用burpsuite抓包就抓不到了,经过研究测试,设置新代理端口8888:转发到8899端口,抓包成功。
开始渗透:
1,查看前端代码,翻开每一个js文件,在查看前端js源码的时候,发现了web.xml文件, 此文件包含了所有的用户ID和姓名。另外js注释还有其他敏感内容
2,用burpsuite的scaner模块遍历目录,但是服务器做了限制,无论存在与否的目录文件,都暴404的错误,而且返回长度不同。每个页面返回长度间隔很小,但其中一个返回长度相差特别大,差了几千个字符,通过查看,发现了dwr框架。通过dwr框架调用用户接口类,可以遍历所有的用户账号密码,查看密码为md5加密,通过研究分析,密码采用userid在前、password在后连接在一起后,再md5加密的方式,通过 可轻易破解。
3,用破解的账号登陆系统后,发现所有的查询功能模块,sql语句直接写在了前端,更改sql语句可以直接执行,查询版本号,发现使用的是oracle10,oracle存在低用户权限提权漏洞,因为客户资料敏感,未做提权测试。
4,邮件发送正文存在跨站脚本漏洞,网站虽然做了简单过滤,比如更换<>为中文的<>等,但是其他的标签,比如img标签经过URL二次编码后可绕过。
5,邮件上传处存在XXE实体注入可遍历大部分系统目录和文件,比如/etc/passwd
6,通过修改邮件ID,任意查看别人的邮件。
7,邮件附件可以上传脚本文件以及exe文件
8,用户密码输入3次错误被锁定,通过抓包修改用户id,欺骗验证系统,成功登陆被锁定的账户。
|
|
发表于 2017-3-17 20:26:50
