0x01入口
直接访问没东西,对其进行端口扫描下
admin:123456弱口令
发现shiro框架
对其进行密钥爆破
发现爆破不出来,根据fscan扫描结果发现存在heapdump泄露
下载他的内存文件heapdump
对其进行解密
发现shirokey:
algMode = CBC, key = QZYysgMYhG6/CzIJlVpR2g==, algName = AES
一般是cc链,cb链一般用在没有cc链的情况下,shiro框架自带的是cb链
打内存马:http://39.101.132.243:8080/777
因为这里他的路由全部有鉴权,所以我们用弱口令先登录到后台
然后访问777内存马路径,获取有效cookie
在哥斯拉链接的时候,设置下请求头就可以连接上内存马了
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, likeGecko) Chrome/125.0.0.0 Safari/537.36Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Cookie: JSESSIONID=8A365128F3FD7662310296AD67463C26;CUSTOMSESSID=8A365128F3FD7662310296AD67463C26Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Connection: keep-alive
flag01: flag{33565d1e-04e9-4efb-b1b9-f70641ae489c}0x02内网
查看网段
上传fscan对内网进行信息收集
部署内网代理进入内网
访问内部资料
内部员工账号 通过密码喷洒+密码组合枚举出一个有效账号
chenhua/chenhua@0813
提权下 SeBackupPrivilege 备份文件和目录 已禁用
这个时候我们发现多出来一个备份的盘,我们去读flag
把flag拷贝出来
根据之前的文件泄露得知,我们可以通向172.22.26.xx段,对其进行扫描
激活下组件
不出网
net user lan lan^sasdqw
添加不了,我后面才发现给的账密才是26.11的
拿到flag win+D发现有勒索
0x03逆向
逆向部分是摇人帮忙搞的,我不太会
flag{63cd8cd5-151f-4f29-bdc7-f80312888158}
原文始发于微信公众号(T大4的小圈圈):【云境】-ThermalPower
