test.com进行突破呢？
访问test.com打开的是供应商公司的官网 。



对test.com的域名做信息收集后发现了几个子域均解析致某云服务器 ， 但是ip不同 。



首先git.test.com这个域名引起了我的注意 ， 打开后是一个gitlab服务 。



gitlab历史上是由几个漏洞的：



但不幸的是此系统版本较高 ， 漏洞均以修复 。
那会不会由弱口令呢？使用几个常用的用户名和top密码进行爆破 ， 无果 ， 我又想办法加到了此公司的一个qq群中 ， 尝试在群文件中获取一些有效信息 。



果不然 ， 群文件中有一份表格 ， 记录了员工的详细信息






有了这些信息 ， 我开始使用姓名和工号等组合成gitlab的用户名 ， 使用常用弱口令定向爆破 ， 期望能有一两个结果 ， 但是还是无果 ， 看来此gitlab对密码强度有要求 ， 弱口令是走不通了 。
柳岸花明又一村当使用google hack 语法搜索此gitlab时发现了几处无需认证即可访问的公开仓库 。



我开始把希望寄托在了这些可公开访问的仓库上 ， 仔细翻看这些仓库 ， 大多数都是一些接口文档 ， 对本次渗透没有啥用 。
终于在rabbitmq安装介绍文档中发现了一个oracle数据库的连接用户名和密码：



在前面的信息收集过程中 ， 已经发现了x.test.com这个子域名对应的ip地址开放了oracle数据库端口 ， 我迅速连接了此数据库发现用户名密码正确 ， 可以连接 。



由于此数据库版本较低 ， 并且时sysdba权限 ， 我可以直接以system权限执行命令 。



然后就是添加用户登录拿下了这台oracle数据库的服务器 。



并且在这个mysql文件夹中发现了mysql的配置文件 。



由于test.com这台服务器是开放了mysql数据库的 ， 利用此信息 ， 我又成功登录了mysql数据库 。



在mysql数据库中成功获取了供应商官网test.com后台的用户名和密码 。



当我满怀欣喜的去登录时 ， 发现确实可以登录 ， 但登陆后的后台功能都已废弃 ， 只有一个大大的thinkphp错误 。



怎么办 ， 原想的通过后台getshell的想法也落空了 。 （也尝试过使用Thinkphp3的漏洞利用 ， 但也全部失败了）
绝处逢生到这里 ， 我认为只能把希望放在这个mysql数据库上了 ， 由于是windows系统 ， udf提权大概率成功不了 ， 那就只能尝试写webshell了 。 写webshell的话需要知道绝对路径 ， 我尝试使用各种办法让test.com报错 ， 看报错信息中有没有包含绝对路径 ， 一系列操作过后无果 ， 只有404页面 。
没办法了 ， 只有盲猜一波 ， 我突然想到了mysql数据库表的表名是否就是网站的目录名呢？



使用这两个表名构造了以下绝对路径
c:\\\\hs_web
c:\\\\hsweb
d:\\\\hs_web
d:\\\\hsweb

当尝试到c:\\\\hs_web时 ， webshell提示已经写入成功了 。



使用蚁剑连接成功：



由于当前用户权限较小 ， 使用potato成功提权：



添加用户成功登录远程桌面：



在服务端的nginx配置文件中发现了代理规则 ， 涉及到几十家医院：



原来这些医院的微信公众号业务都是先访问test.com这台服务器 ， 然后再由这台服务器上的nginx转到到各个医院的真实服务器上 。 那这样也太不安全了吧 ， 一旦供应商的这台服务器宕机、他们的业务也得跟着丢 。

• 笔记本|双芯协同！上手Reno8 Pro花仙紫，氛围感人像神器稳了
• 地球上神秘的五大史前古物，其一记录了地球文明征战到仙女星系！
• rest|golang笔记 | 面试题整理
• 蓝牙AOA定位那点事系列085：如何应对第一次合作软件开发合作伙伴的问题和需求
• 六个夏天的记忆，最美的童年在这里相遇。
• 空调|空调移机“坑”巨多，这些套路一定要牢记，别让自己再花冤枉钱了
• 笔记本|续航媲美MacBook Air，这款Windows笔记本太适合办公了
• 比特币|买小众低端品牌笔记本，还不如二手一线品牌高配置，有道理吗？
• 牙刷多久更换一次最健康？
• 笔记本电脑|华硕笔记本电脑问题不断？消费者很糟心