美文网首页
记一次失败的钓鱼,成功的key

记一次失败的钓鱼,成功的key

作者: CSeroad | 来源:发表于2023-03-20 10:39 被阅读0次

    前言

    某次攻防演练中遇到几个oa系统,其中一个医院的oa系统还算有些意思。在此复盘一下。

    登录

    映入眼帘的就是一个登录页面。

    image.png

    首先看到一处"忘记密码"的功能点,对此功能点抓包测试。

    image.png

    以经验判断,只需要在填写任意验证码时将返回包的code值500修改为200即可来到修改密码的功能。
    但遗憾的是当我不断修改时页面并没有发生任何变化。

    image.png

    当我尝试将返回包里的状态码修改为200时,成功跳转到修改密码的功能点。
    如此就可以重置任意用户的密码。

    钓鱼

    重置一枚账号后进入系统后首先翻找上传接口,一通忙活发现所有的上传全部存放在filePath里,确认是任意文件上传但无法解析webshell。

    只能转换思路,想着既然是医院的oa系统用户量比较大,那就尝试一下钓鱼。
    首先重置了一个信息网络管理办公室员工的密码,以她的身份发送邮件。这样的可信度比较高一些。

    因为对c#代码比较陌生,没有手动实现,也是第一次钓鱼,只能利用工具生成一个简单的免杀二进制文件,重命名为oa系统升级补丁.exe。

    image.png

    经过一晚上的等待,还真有一台上线的个人pc机。

    image.png

    但查看ip地址发现并不是该医院的办公网,猜测办公网可能不出网。也许是木马做的并不完美,该pc机在几分钟以后就掉线了。

    shiro

    回到oa系统,只能去翻找文件,看是否能找到该医院其他的脆弱资产。下载了多个apk、word文档、表格等,均没有发现薄弱点。
    但在"院内信"发现了几个测试的jar包,结合开发文档好像是源码。

    image.png

    下载分析了一下,发现系统使用了shiro框架并找到了key值。

    image.png

    当满怀开心进行利用的时候,竟然提示未发现shiro框架。

    image.png

    去burp的插件里看了看也没有发现shiro框架。于是将burp的历史记录再次翻找一遍。
    果然发现本来的rememberMe已经被修改为xxx_oa_remember_Me
    再次利用得以验证。

    image.png

    将该oa在空间搜索引擎上搜索,发现还是一个通用,侥幸获得一枚0day。

    总结

    1、返回包修改状态码为200可重置任意用户密码;
    2、钓鱼样本做的太多粗糙,引起了对方的察觉;
    3、细心的观察到oa系统竟然存在源代码,顺利找到key,并结合认证字段拿下该目标系统。

    相关文章

      网友评论

          本文标题:记一次失败的钓鱼,成功的key

          本文链接:https://www.haomeiwen.com/subject/spghldtx.html