记一次红队经历

上学期临近考试周的一个下午，学校老师喊我和学弟参与一场红队活动，于是便有了下面的文章

印象很深的一个攻击目标是英语四六级考试网站....（我要是能打下来还苦逼背单词干什么）

首先开始前期的信息收集工作，利用zoomeye、nmap对目标IP段进行扫描，收集子域名等等。



上面是我在信息收集过程中收集的一些觉得脆弱可能存在问题的站点目标。（红队队员只需要输验证码试弱口令发现脆弱目标就好，捡软柿子捏

经过一番测试和批量扫描确定了几个存在漏洞的薄弱点。

公网暴露路由器

当时在zoomeye看到一个很有趣的网页标题：TP-link xxxx，这不是路由器吗。点击进入后看到这是一个暴露在公网的路由器，密码简单测试了一下，弱口令admin/admin就进入了后台。进来以后发现存在一个ping 其他主机的功能，这不是CTF最经典的命令注入吗hhh？前端JS禁用了特殊字符和设置最大长度，发包以后不直接回显结果，burp改包反而不行。利用console把过滤函数改成return true 并把输入框max_length改长就实现了命令执行，最后是root权限，成功提权。

weblogic中间件漏洞

​ 发现几台主机存在CVE-2019-2618 ，直接使用poc上传jspshell拿到最高权限

hack fun

在对某核心域名的子域名测试时(得分乘10！)发现一个很有意思的站点。

网站页面的url格式如http://domain/xxxController.do?method。当试图访问某个controller不存在的方法时，会报错，将所有该controller的方法暴露出来

可以看出这里的逻辑大概是switch/case的样子，访问三个login方法发现竟然存在三个后台！在后台当中有两个默认后台，怀疑这个CMS系统自己留的两个后台模板，存在默认密码但是并没有启用。login1是正在使用的后台，不存在弱口令。

访问login2发现了一个很有意思的接口:重置密码，抓包后发现用post方式请求了loginController的reqInitFlag方法。还注意到网站有很多手册，经过一番查找后在一个手册中找到了默认密码：123qwe???

成功恢复admin密码并进入后台，后台有上传文件的接口，但是貌似没有实现好。后来去这套CMS系统的官网下到源码后找到了任意文件上传漏洞最后拿下shell。

凭借着这个核心系统的*10，我们最后拿到一个中间名次hhh.

总结

这次红队经历总的来说十分有意思，给自己积累了不少经验，希望以后能参与更多。

PS：学弟划水几天，恰了烂钱，偷偷看彩虹六号都被我发现了