对物联网项目的一次黑盒渗透测试 下篇


      我们从上面得到了172.16.*.*的新段落,接下来我对该段落进行了WEB端口的生存性检测,发现了路由管理界面。在这里尝试弱密码和爆破也没有得到相应的结果,但是现在我们的资产收集也没有新的收获,希望这里有可以利用的漏洞,经过不断的测试和配置文件的检索,发现这里有未经许可访问的漏洞,直接访问/webfig地址。在这里提示的是,共有4个互联网。在这里,我注意到了新的VLAN。对应的互联网是office,我通过ARP看到他所在的IP区域是172.16.200.*这里因为不熟悉设备,所以不太清楚账户和密码是什么意思,大致推断。上面发现的互联网共有以下四个项目。


这里的profile对应写的是net,用这一账户密码连接Tech热点的时候能访问对应的区域吗因为我对office感兴趣,所以找到了office的账户密码进行了登录测试,通过了tech的验证,成功地与172.16.200.*网络连接。经过172.16.200.*的测试,找到了OA系统,版本为通达OA11.3。这一版本不仅有任何用户注册的问题,还有任何文件上传都会导致RCE的脆弱性。第一步,在本地分析这一脆弱性,下载源代码后用Zend解密工具解密源代码,第一步看ixpaDPI/em/upload.php。


我们可以看到代码第五行有一个判断句子,如果POST请求中的P非空白,代码将sessune设置为P参数值,不然将对sessune中的LOGIN_USER_ID和LOGIN_iD进行验证,如果验证码错误,则会提示用户未登录并退出,因此我们可以结构P参数,绕过登录验证,然后我们可以直接在未登录的情况下上传文件,在正常情况下访问upload.php。


在这里,我们绕过了身份检查的过程,接下来是结构文件的上传,看下面的代码。在其中POST参数中的DEST_iD也会进行检测,如果值不是整体的话,会提示受益人ID无效,所以我们结构DEST_iD再试一次。上传成功,这里可以通过php.的方式上传php文件,但上传后文件位置在attach目录下,不是根目录,而是在文件前自动添加随机数,因为我们无法知道相应的文件名称,所以不能直接利用。130行导出的databack中有CONTENT,该变量包括文件名称,因此可以直接POST给UPLOAD_MODE和MSG_CATE增值,以UPLOAD_MODE为1的方式解决文件名称问题,解决文件目录问题。


在其中url参数包括generalp/、ixpaDPI/、module/其一,有关include_once变量url地址的值,可以包含任何文件,分析完成后,我们开始利用,第一步我们中途利用的木马取得OA服务器这一小倒霉蛋后,通常的内部网络扫描了b段整体打开3389的机器,用刚才抓住的密码进行了冲突,尝试了密码是否再利用突过程中,扫描了门禁系统的服务器,登录了域名账户。在以前扫描资产生存的时候,为了速度,脚本中只追加了几个常用的80、443端口,这一8088端口提供服务的门禁系统也成为了漏网的鱼。在服务器上看到这一系统后,第一步访问,登录了帐户,还是需要登录密码,还是没有登录密码?从配置文件中找到系统的数据库连接密码后,连接数据库,直接查看admin账户对应的密码。

分享: