原
创
征
稿
本文由CyberDog提供,主要介绍了自己对BC站点的曲线渗透经历,其中运用的渗透技巧十分有趣,与大家分享。
根据和赌狗同学社工套到的世界杯期间活跃的BC平台二维码下载了某app
对其进行抓包分析,该平台的域名很乱糟,实在是搞不懂,服务器有强cdn+云waf
登录并未进行加密,尝试了爆破、SQL无果,但是无意间发现该程序在交互过程中会返回一个数据包,该数据包中包含了大量的URL,经过测试发现这些URL都是BC相关的,其中不乏有api接口、客服系统、直播系统等等
由于访问最初的二维码得到的是H5页面,看起来很难受,也没有什么合适的入手点,于是在这里面的url中找到了web端的页面
此时工具出现了问题,没在这个页面费太多心思,明显的漏洞点很少,或者比较难以入手,确实url数量多到离谱。
找到了一个由这个BC站跳转过去的客服系统:
这里的url虽然显示非常简洁,但是直接访问是不行的,在跳转这个url的时候要经历一步认证,也就是上一个页面必须登录之后,他会携带着token进行跳转作为login?的参数
这里也没做过多测试,首先是怕打草惊蛇,其次现在还是在初期探测阶段。
紧接着再次从这堆数据包中找到了个更有意思的事情,此时无法确定它是什么,但能确定是一个有相关的点。
首先对XXX.XXX.XXX.6的服务器进行一波目录敏感信息收集,然后发现了一些有意思的东西
分别访问看下:
(1)一个客服系统
这个点只能尝试弱口令,但是很遗憾并没有破解成功,果断放弃
(2)这个是在测试的一个外呼系统,并不清楚是做什么的,有可能是推销,由于没有配置后端,这个前端页面没有得到有用的信息
(3)Swagger ui接口文档
Swagger ui对应的后端肯定是java的,第一直觉肯定是要去找比较敏感的sql等,但是sql并不是我所擅长的,于是把重心放在了上传,这种接口文档通常都会有无条件的上传漏洞。
这里可能是它对应的是第一个客服系统,已经做好了,所以把鉴权做的很细,如果上传文件必须要登录,带着token才可以,所以这个点也失败了,但是一定还有很多可挖掘的地方,技术好的同学可以继续尝试其他的方法。
(4)重头戏来了,此时发现了有一个监控系统zabbix可以直接反弹shell打入该站点的内网。
a、输入弱口令:Admin密码:zabbix
成功进入!
b、接着查看是否可以反弹shell:
可以看到存在脚本创建,又加上root,理论上是完全可以反弹shell。
附图:
发现有2个服务器在内网
后续就是查看zabbix server里面的两个服务器里面有什么东西了,加下来可以交给内网师傅了。
睿思麟阁向广大网络安全爱好者征集技术文章啦!
了解更多投稿福利请戳 ↓↓↓
原文始发于微信公众号(睿思麟阁):技术分享 | 一次对BC站点的曲线渗透
