【本文仅为学习和交流,切勿用作非法攻击 ,参与非法攻击与笔者无关 !!!】
这个hvv已经很久了,还记得是刚毕业第一次参加GFYL的时候,一转眼都过去好久了,时间真快呀,自己还是一如既往的cai,脚本小子一个,大佬勿喷
信息收集
前期拿到了一批资产属实难啃,也没有其他域名信息,通过企查查等对相关目标进行收集测试,对某单位官网的目录进行各种点击,发现底部存在邮箱,且点击进去之后标题很明显的是Zimbra
漏洞测试
网上有很多关于Zimbra RCE相关漏洞文章,比较典型的是XXE,经过测试是存在XXE漏洞的
<!DOCTYPE xxe [<!ELEMENT name ANY><!ENTITY xxe SYSTEM"file:///etc/passwd" >]><Autodiscoverxmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"><Request><EMailAddress>[email protected]</EMailAddress><AcceptableResponseSchema>&xxe;</AcceptableResponseSchema></Request></Autodiscover>
不仅可以读取文件,还可以读取目录,首先读取 .bash_history,发现zimbra配置文件以及密码,先记录下来,后续没准用的着
进一步读取conf文件 获取到新的系统URL地址、账户、密码,真滴幸运
密码碰撞
通过获取新的业务系统地址、账户、密码成功登录了系统,管理员权限
利用获取的账户 密码,也可以登录原来的Zimbra邮箱系统,且是管理员权限,其实后续是可以针对性发钓鱼邮件的,可惜当时不会
Getshell
Zimbra getshell的思路基本就是 利用SSRF漏洞高权限Token,最后发送webshell到目的服务器,最终还是回归到信息收集,发现Zimbra的Web目录,利用xxe漏洞成功发现了之前入侵的痕迹,直接拿别人的webshell用就ok了
但是一访问jsp需要进行二次认证,使用之前获取的账户密码,成功访问到jsp webshell 获取权限,还是得细心,把每一个获取的账户密码用到 “极致”,没准就有新发现
内网横向
通过webshell发现多个历史入侵痕迹,及时截图记录,发现历史入侵痕迹也可以算分数
翻翻数据库配置文件,成功找到数据库配置文件,不得不说,这密码也太长了吧(复杂度是够的),就不放出数据库连接图了
最后分享一个快速获取Zimbra数据库配置信息,也忘记是哪里获取的,就记得当时记录来着
zmlocalconfig -s|grep zimbra_mysql原文始发于微信公众号(弱口令验证机器人):记一次HW实战的Zimbra RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论