记录对某医院的一次攻防实战


信息收集

医院主域名为静态页面,通过域名解析发现真实IP,扫描服务器端口后未找到已知漏洞,子域名枚举未发现有用信息,扫描目录未发现可利用信息,使用搜索引擎搜索发现致远OA系统。

漏洞发现&利用

使用GitHub找到的工具一把梭未发现漏洞,也没找到弱口令。此时有个冷知识大家或许不知道,FineReport的漏洞大家都知道了,但是致远的一些版本也是使用了FineReport的,只不过默认路径是seeyonreport/ReportServer,这种情况下一般漏扫根本扫不到的,除非自己写Poc。很幸运,该系统使用的是FineReport V9,存在任意文件上传漏洞,然后利用漏洞上传jsp木马,然而访问时却是这样:

应该是有WAF等安全软件,尝试使用各种免杀webshell生成工具,都无法成功,然后使用搜索引擎在线搜索最近的免杀jsp木马,图为后补,但方法不变:

然后找到了大佬们分享的真实有效的免杀webshell,上传后使用冰蝎成功连接,如图:

执行tasklist /svc后在线比对杀毒软件发现存在火绒,如图:

然后执行systeminfo查看系统信息和补丁安装信息,如图:

没有域也没有安装补丁,准备上线CS提取后横向,但是上传免杀CS木马执行后没有回弹,ping百度不同,原来是不出网,使用fscan扫描C段发现该段仅有此服务器,扫描B段未发现存活主机,对A段探测也未发现存活主机,可能做了网络隔离?
浏览网站文件发现存在一些黑客工具和webshell,某些文件名是安全厂商缩写,顺手将文件名加个字典,以后扫目录或许会有惊喜。继续浏览文件在Seeyon/A8/base/conf/datasourceCtp.properties下找到数据库配置账号密码,如图:

然后使用致远OA解密工具:https://github.com/Rvn0xsy/PassDecode-jar将密码解密,然后连接数据库,如图:

查看ORG_PRINCIPAL表获取用户名和加密的密码信息,插入账号密码行不通,参考:https://www.hedysx.com/2807.html解密也懒得试了。获取免杀jsp木马请在公众号回复【免杀jsp】,获取Xray白嫖历史请回复【Xray】。

声明:Hack All Sec的博客|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - 记录对某医院的一次攻防实战


Hacker perspective for security