摘要

在目前的Web渗透中，攻击的起点往往不再是单一的、明确的目标，而是一个模糊的实体开始，通过信息收集与资产关联，逐步构建出完整的攻击面，本文将详细记录一次争对某涉黄直播平台的渗透全过程
本次目标为”XX”的涉黄直播平台。这类平台为了规避打击，通常套CDN和多个”马甲”域名。所以第一步，是对该”XX”进行全面的资产测绘与攻击面分析。找到薄弱的资产进行攻击。

下载地址：https://xxxxxxx/xxx.apk (PS:在遇到类似的网页下载app的 可以关注一下载的流量请求)



下载下来app后尝试对app进行抓包，把app放到模拟器中利用yakit去抓包发现抓不到尝试了绕过也不行 然后通过Reqable+IPhone抓包发现返回包什么的都是加密的



这里我直接放弃了对返回包进行解密的想法（我感觉没必要）并测试了短信接口，上传点，去观察这些功能点请求的域名。并记录下来，随后我将重点放在了域名上，通过app中获取的域名去寻找看看有没有其他薄弱资产或真实IP。



通过域名反查发现了发现了该APP文件服务器用的某云存储桶，文件上传别想了没啥用，通过域名反查IP也是CDN，其他子域也没有什么作用，没有获取到可利用的信息或者薄弱资产，在不断地翻找中发现了子域中,一个网址，用了APP名字的首写英文字母命名，而且页面也比较奇怪就按照经验手动的试了一下目录/admin/



然后就跳转到了这样的一个页面



看见这个页面的时候满心欢喜以为找到后台了，分析了一下应该是TP或者TinkAdmin的框架



哦豁，没有跳转过去，但是肯定是存在的然后我又按照经验尝试一下了/admin.php/这里也是同样的一个跳转





但是好巧不巧，它就是跳转到后台了，我这一看，这不是ThinkAdmin吗，接着我尝试了一下弱口令 GG 弱口令不行，然后我又试了试ThinkAdmin的漏洞 经过不断地尝试



通过检索ThinkAdmin历史漏洞发现存在任意文件读取，在读取了config/database 后发现只有config中有点有用的东西，database中都是空的啥也没有，虽然有了redis密码 但是 redis还是内网的IP，呜呜呜，但是，俗话说得好”车到山前必有路，柳暗花明又一村”



我在config中仔细观察发现有一个域名，通过这个域名我又去反查尝试获取真实IP和薄弱资产



查询后发现IP是某云，资产有Gitlab,AppNode,xxx任务管理器-登录，Portainer,等等资产，从这些资产来分析基本上可以确定是该APP的生产环境
Google了一下看AppNode有没有什么历史漏洞，发现原来和宝塔差不多，密码也是随机的，也没查到有历史漏洞，没事儿，放弃这个，继续看下一个。



在看了Gitlab,Portainer,RabbitMQ等资产后尝试过历史漏洞或默认账户密码，一点突破口没有呀，心都凉了一半了，呜呜呜。
没办法没找到有价值的东西，接下来只能看看IP咯，说不定有惊喜呢，随后我眼睛一亮，我看到了突破口，Redis！！！！，端口也和之前里面那个端口是一样的！！！心里想着，Redis，看我连上去一套组合拳，VPS建立监听，写计划任务，反弹Shell，弹回来Shell 上控权限维持，打内网，哈哈哈哈哈哈哈，心里乐开了花。



通过之前任意文件读取到的redis端口和密码，直接就连上去了，（PS：这个密码真几把复杂爆破一百年都不可能爆破出来）



于是我开始了我的一顿操作，想象是美好的，现实是残酷的，嘻嘻，计划任务写不进去，随后我通过redis工具在里面翻找可利用的数据，发现了后台登录的账户和缓存的md5加密密码！！！！



后续就是登录进去固定证据打包给帽子叔叔了


（PS：提供一个思路，如果遇到已经突破进去Redis机器符合特殊复杂端口，复杂的密码，就可以去网络资产测绘尝试寻找，例如：port="43390" 在使用复杂不可爆破的密码的情况下去登录，哪个能登录进去那么这个机器和该机器存在关联性，例如密码：BSsfd0PtThhyn2）

自评TCV：1