目标:某公司邮件服务器(此次渗透纯属瞎玩,邮件服务器只是自己瞎定的目标,毕竟没有目标的话搞起来会很乱)
域名:testxxx.com
信息收集
使用了whois、nslookup、在线C段查询工具、subDomainBrute、theHarvester、Nmap等工具进行了信息收集,经过整理之后,得到了以下信息
站点的一些链接:
ip:
使用nmap对整理出来的ip进行了全端口扫描:
收集到的邮箱账号:
whois:
主要就是拿到了公司电话、公司地址、域名注册人邮箱等一些信息,就不截图了
然后就开始了漏洞挖掘:
我只是想快速的拿到一个webshell,做代理进入内网。
所以先用google搜索了action、jsp、do、upload等关键字,再拿struts2撸了个遍,没发现利用点。
再然后又关键字搜索admin、manage、administrator,准备弱口令走一波,没有任何结果。看来走捷径是不行的,只能一个个系统打开挖洞
我特么还以为我进去了,翻了下后台什么也没有,奶奶个熊,掏出我的sqlmap就准备捅,结果就是人家这破系统压根就不需要密码,填啥都能进去。。。
对收集到的url以及扫描出来的端口进行了漏洞挖掘,很多都是只有一个登录口,搞了很久没发现什么可直接利用的点。
发现文件中转系统是使用邮箱登录的,然后还可以爆破。
就拿着收集到的邮箱用top1000爆破了一波。
全程盯着他跑,最后两千的时候出来了。。。心里高兴的一批,没想到字典里还有这么个密码
有了这个用户的权限,感觉看到的又是另外一片天,这个账号是可以直接进入到工作区的,好几个系统可以直接进入
然后又对这些系统进行了一番挖掘,发现sql注入一处,上传啥的基本没有。
注入是个时间型盲注,还有waf,又是一脸懵逼。。。
发现还有几个系统是这个账号进不去的,然后到邮箱通讯录把所有账号导出,又爆破了一遍。很快又拿到一个用户
对着刚刚进不去的几个系统再来了一拨挖掘
搞到oa系统时,发现工作申请处可以传文件
首先测试了jpg文件,可直接上传
点了下下载,下载路径是这样的
测试过后发现文件路径就是
尝试直接传aspx
传图片马抓包修改后缀后绕过,至此内网入口到手
