引言
本文介绍了常规Aspera Faspex组件 RCE后如何利用数据库并登录后台的简单后渗透利用,常见的RCE Nday例如:CVE-2022-47986。
维持权限
RCE通过反弹shell命令,获取nc shell,但此时shell并不是完全交互式的,并且维持权限不方便,不利用后续的利用,因此需要部署一个完全交互式shell木马,可以参考使用我的 Supershell项目。
目标主机是amd64架构,wget下载生成的对应架构木马文件,赋予可执行权限后执行。
查找数据库
连接会话,获取完全交互式shell,Aspera Faspex 在 config 目录中存在 database.yml 文件,里面存放了数据库配置信息。
从中可以发现 数据库类型、开放端口、开放地址、生产环境的数据库名 和 用户名密码,这些信息足够我们访问目标服务数据库,为了访问方便,我们可以在VPS上开启一个本地端口转发,然后使用 navicat 访问,Supershell项目 中集成了端口转发功能,使用如下命令即可实现本地端口转发。
ssh -L 0.0.0.0:3306:127.0.0.1:4406 -J 127.0.0.1:3232 <sessid>
我们将目标本地4406端口的数据库服务转发到了vps的3306端口,使用navicat成功连接。
后渗透利用
在 faspex 数据库中的 users 表中可以看到用户信息,这里的密码加盐hash等算法导致反查困难,我们可以添加一个账户,复制某条管理员用户记录,然后将邮箱改为我们自己的临时邮箱,再使用密码找回功能重置这个新增账号的密码,就可以登录管理后台了。
重置密码后使用新的密码可以成功登录。
总结
本次后渗透的思路主要是在密码无法反解的情况下,通过操作数据库添加我们的邮箱,使用密码重置功能从而达到登录后台的目的。
申明:本次渗透并没有对任何资产进行任何破坏,窃取数据和获利获益等行为,只用于学习目的。