记一次从代码审计到拿下内网edr的过程

我会带着你远行 2022-10-20 13:51 183阅读 0赞

0x01、前言

在某次授权红队行动中，客户给定目标外网资产很少

经过各种挖掘，各种尝试，久久没有结果，注意到某系统为通用系统。

![图片][1d67c4ddb5f070ab0274e2670add6956.png]

于是开始了下面的故事。

## 0x02、寻找源码到getshell ##

### 查找源码 ###

1、网盘泄露：这套系统并不开源，各种网盘泄露网站一顿查找，无果

2、Github、gitlab泄露：尝试了多个关键词，均无果

3、Fofa找同类型的站：用favicon.ico，或是用title来搜，并且将这些资产采集起来，最终在某个站发现`web.rar`，成功获得源码

### 代码审计 ###

查看代码目录结构如下

![图片][d297b405adfb625566407e209572ad4b.png]

首先看web.xml，注意到这个过滤器`filter.PurFilter`

![图片][12740f6b53fae49f360a85473d1966db.png]

跟进去看下

![图片][400c5a1fcbbade973e7b49236060f128.png]

此处定义几个数组  
![图片][343c9442b248046ccb214934ec085db5.png]

使用getRequestURI()获取url，查找url中最后一个点的位置，然后获取后缀转小写

![图片][102a2b9fa6c8fc4ae30660f40fab730f.png]

这个过滤器实际上是一个权限校验的工作，如果用户没登录的话是只能访问数组里的路径，或者后缀数组的特定后缀的文件。但是此处使用  
getRequestURI()获取url，我们注意到

![图片][cfefe44c65926d5b86c4d95d86065da6.png]

只要我们的`strSuffix为`后缀数组中的就能过了这个验证。

我们首先了解一下`getRequestURI()`这个方法  
当我们请求`/test/1.jsp;aaa`时`getRequestURI()`取到的结果也是`/test/1.jsp;aaa`  
那么此时想到构造请求`/test/1.jsp;1.jpg`就能绕过这个权限校验

绕过权限校验以后开始寻找可getshell的漏洞点，直接全局搜索multipart，寻找上传功能

![图片][7a5ec141b705bb568bbf847673871c88.png]

看到第二个的时候成功发现一处任意文件上传

### 获得权限 ###

按照代码分析，直接构造包上传shell，成功getshell

![图片][ff5f477143bdd9f6232585130f0c6502.png]

## 0x03、拿下内网edr ##

### 获取edr系统权限 ###

通过shell执行tasklist发现此机器装了某edr

扫描c段443端口发现https://172.x.x.x为某edr web管理界面

用frp开个代理

用已经公开的漏洞测了一遍发现，存在一处命令执行漏洞没修

利用公开的脚本直接弹了一个shell回来

![图片][006fafe7d43406e4efe3b63d4fa287c1.png]

此次的目的不是获取这个edr的服务器权限，而是可以进到web管理界面可以做到给终端下发后门。所以目标为的登录web管理界面

首先的想法是找数据库账号密码然后登录进后台。

之前也没搞过，先看下进程  
![图片][df8468953c3c9cc50d249aa78fc876fe.png]  
好像是mongodb，使用以下命令查数据库密码

1.  `find /ac -type f -name "*.php"| xargs grep "password"`

太多了发现密码名字好像叫mongodb\_password，再次查找.

1.  `find /ac -type f -name "*.php"| xargs grep "mongodb_password"`

![图片][e2c86e6a95a1f6f56b722335919635f0.png]

查的过程中感觉就算找到数据库连上了密码也很难解密

于是想到之前的未授权任意用户登录，漏洞文件在`/ui/login.php`

![图片][958c2ee8b20d43ab7a75821a3dd5b7d5.png]

于是先备份文件，然后将此处的if改为`if(1==1)`

![图片][729022158c934748c60bb6a4926a0c14.png]

使用`/ui/login.php?user=admin`登录成功

![图片][efb27b94e4b9d694d9f938f580d7969b.png]

然后就可以加白名单批量下发马执行上线了。

## 0x04、技术总计 ##

1、想办法获取外网系统源码

2、代码审计获取外网shell

3、历史漏洞获取edr系统权限

4、修改文件进而任意登录到web管理端

[1d67c4ddb5f070ab0274e2670add6956.png]: /images/20221020/5d32a57d104c4f0aa6f97d9675ec39d2.png
[d297b405adfb625566407e209572ad4b.png]: /images/20221020/40f41dc5b9744784993bf123588b1791.png
[12740f6b53fae49f360a85473d1966db.png]: /images/20221020/3d68b975ee9e4fa6988230e62a1e3b89.png
[400c5a1fcbbade973e7b49236060f128.png]: /images/20221020/b322c77c28d444eead4db65be4eca3c9.png
[343c9442b248046ccb214934ec085db5.png]: /images/20221020/20dc6307842941caaf1f1d1d0cc1f314.png
[102a2b9fa6c8fc4ae30660f40fab730f.png]: /images/20221020/ca610b3e6c834cecb20f9bd9f48bef85.png
[cfefe44c65926d5b86c4d95d86065da6.png]: /images/20221020/b47d01c8242143c681dc03d1327e437a.png
[7a5ec141b705bb568bbf847673871c88.png]: /images/20221020/d0065d00648644dca9c09c2ae8ffc2df.png
[ff5f477143bdd9f6232585130f0c6502.png]: /images/20221020/4258825305154975b8530e8202a7c8fb.png
[006fafe7d43406e4efe3b63d4fa287c1.png]: /images/20221020/8cc7829fb91949c0b58b082e48347cf0.png
[df8468953c3c9cc50d249aa78fc876fe.png]: /images/20221020/b6cbc43711fb4d7cad9ed3c1f23e607a.png
[e2c86e6a95a1f6f56b722335919635f0.png]: /images/20221020/41eed66e0dc44bfe9036100b86942260.png
[958c2ee8b20d43ab7a75821a3dd5b7d5.png]: /images/20221020/61f30ed077db4ea0a6295d219985b729.png
[729022158c934748c60bb6a4926a0c14.png]: /images/20221020/2ca0800c9e4048a386c1092a13b3cbc4.png
[efb27b94e4b9d694d9f938f580d7969b.png]: /images/20221020/dd20446439bb42de88979687a25e4c6a.png