对某公司网站的渗透 – (web渗透部分)

目标:某公司邮件服务器(此次渗透纯属瞎玩,邮件服务器只是自己瞎定的目标,毕竟没有目标的话搞起来会很乱)

域名:testxxx.com

信息收集

使用了whois、nslookup、在线C段查询工具、subDomainBrute、theHarvester、Nmap等工具进行了信息收集,经过整理之后,得到了以下信息

站点的一些链接:

ip:

使用nmap对整理出来的ip进行了全端口扫描:

收集到的邮箱账号:

whois:

主要就是拿到了公司电话、公司地址、域名注册人邮箱等一些信息,就不截图了

然后就开始了漏洞挖掘:

我只是想快速的拿到一个webshell,做代理进入内网。

所以先用google搜索了action、jsp、do、upload等关键字,再拿struts2撸了个遍,没发现利用点。

再然后又关键字搜索admin、manage、administrator,准备弱口令走一波,没有任何结果。看来走捷径是不行的,只能一个个系统打开挖洞

我特么还以为我进去了,翻了下后台什么也没有,奶奶个熊,掏出我的sqlmap就准备捅,结果就是人家这破系统压根就不需要密码,填啥都能进去。。。

对收集到的url以及扫描出来的端口进行了漏洞挖掘,很多都是只有一个登录口,搞了很久没发现什么可直接利用的点。

发现文件中转系统是使用邮箱登录的,然后还可以爆破。

就拿着收集到的邮箱用top1000爆破了一波。

全程盯着他跑,最后两千的时候出来了。。。心里高兴的一批,没想到字典里还有这么个密码

有了这个用户的权限,感觉看到的又是另外一片天,这个账号是可以直接进入到工作区的,好几个系统可以直接进入

然后又对这些系统进行了一番挖掘,发现sql注入一处,上传啥的基本没有。

注入是个时间型盲注,还有waf,又是一脸懵逼。。。

发现还有几个系统是这个账号进不去的,然后到邮箱通讯录把所有账号导出,又爆破了一遍。很快又拿到一个用户

对着刚刚进不去的几个系统再来了一拨挖掘

搞到oa系统时,发现工作申请处可以传文件

首先测试了jpg文件,可直接上传

点了下下载,下载路径是这样的

测试过后发现文件路径就是

尝试直接传aspx

传图片马抓包修改后缀后绕过,至此内网入口到手

发表评论

电子邮件地址不会被公开。 必填项已用*标注