看我如何拿下公司OA服务器
0x00 信息收集
目標地址:http://oa.xxx.com:8888/art/,訪問后界面如下
獲取某個系統shell后發現其是docker
nmap掃描全端口: nmap -v -A -p1-65535 -oN oa.xxx.com.txt oa.xxx.com
結果只開放了53/tcp和8888/tcp,如下圖:
網絡架構猜測:被掃描的ip應該是公司的出口防火墻,網站躲在防火墻的后面,防火墻開了8888端口轉發到內部服務器,至于53/tcp可能是防火墻本身開的端口
系統方面的利用點應該沒什么機會了,只能在web上尋找突破口
burp抓包,發送到repeater,由圈出來的2個地方可猜測,目標沒有web服務器,應用服務器用的tomcat,后端開發語言是java
嘗試不存在的路徑,讓服務器報錯,確認之前的猜想,應用服務器為tomcat6.0.29
0x01 利用檢測
tomcat 6.0.29已知有一個漏洞CVE-2016-8735,檢測后發現漏洞不存在
好吧,已知的漏洞都修復了
0x02 漏洞挖掘
審查功能點,發現除了登錄功能,下圖圈出的3個地方還有下載功能
點擊“FLASH插件下載”
點擊圖標會下載“Adobe+Flash+Player+for+IE_10.exe”,鼠標移動到圖標,會出現下載鏈接,點擊鼠標右鍵,選擇復制鏈接地址:
http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/usr/local/tomcat6.0.29/webapps/art/page/resource/utils/Adobe%20Flash%20Player%20for%20IE_10.exe&fileName=Adobe%20Flash%20Player%20for%20IE_10.exebr
一看,妥了,目錄遍歷漏洞+網站物理路徑泄露
修改url為:
?
http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/etc/passwd&fileName=passwdbr
可以下載/etc/shadow(哇,我好幸運),說明tomcat應該是以root權限啟動的,這就舒服多了。
現在的思路是讀取tomcat-users.xml,然后登陸manager,首先猜測tomcat-users.xml的路徑為/usr/local/tomcat6.0.29/webapps/conf/tomcat-users.xml,訪問后成功讀到,然后訪問/manager/,結果返回狀態碼400
狀態碼400表示語法錯誤,懷疑/manager/要么被刪掉,要么被修改,且很大可能被刪掉,抱著試試看的態度,用御劍爆破一波目錄,還是無果
tomcat-users.xml 都讀到了,/manager/竟然不能訪問,有點失望,回到之前拿到的信息,/etc/shadow中有密碼的用戶有3個,分別是root、dongda、oracle,拿到cmd5中去破解,前2個無果,但是用戶oracle的密碼能跑出來
?
可是防火墻只對端口8888做了映射,拿到口令也登錄不上啊,思考中。。。
咦,我不是在內網中嘛,可以訪問內網ip,但是沒有內網ip啊。。。
對了,我可以讀ip配置文件啊
先查看操作系統版本,猜測操作系統是centos,嘗試讀取文件/etc/redhat-release試試,成功讀到:
Red Hat Enterprise Linux Server release 5.4 (Tikanga)
red hat系統中ip的配置文件位于/etc/sysconfig/network-scripts/ifcfg-eth0,后面的eth0是系統的網卡名,不同系統的網卡名不同,不過red hat 5.4這么老的系統,網卡名是eth0的概率會大一些吧,嘗試讀取ip配置,成功讀到,哇哦,拿到ip了。
使用之前破解的憑證,ssh登錄目標主機,成功登錄
0x03 權限提升
已知系統為Red Hat Enterprise Linux Server release 5.4 (Tikanga),記得red hat 5.4有一個提權漏洞cve-2010-3847,上傳提權腳本,執行后不出意外拿到了root權限
0x04 附錄
提權腳本使用過程可參考我的github:
https://github.com/ybdt/poc-hub/blob/master/2020_10_12_RedHat%205.4權限提升漏洞復現(CVE-2010-3847)/readme.md
總結
以上是生活随笔為你收集整理的看我如何拿下公司OA服务器的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 文件写入的6种方法,这种方法性能最好
- 下一篇: 手把手教你做挖矿应急响应