看我如何拿下公司的办公服务器

admin 2022年5月10日22:30:17安全文章评论6 views1987字阅读6分37秒阅读模式

作者:ybdt ,转载自先知社区。

0x00 信息收集

目标地址:http://oa.xxx.com:8888/art/ ,访问后界面如下

看我如何拿下公司的办公服务器

获取某个系统shell后发现其是docker

nmap扫描全端口:


nmap -v -A -p1-65535 -oN oa.xxx.com.txt oa.xxx.com


结果只开放了53/tcp和8888/tcp,如下图


看我如何拿下公司的办公服务器


网络架构猜测:

被扫描的ip应该是公司的出口防火墙,网站躲在防火墙的后面,


防火墙开了8888端口转发到内部服务器,至于53/tcp可能是防火墙本身开的端口

系统方面的利用点应该没什么机会了,只能在web上寻找突破口


burp抓包,发送到repeater,由圈出来的2个地方可猜测,


目标没有web服务器,应用服务器用的tomcat,后端开发语言是java


看我如何拿下公司的办公服务器


尝试不存在的路径,让服务端报错,确认之前的猜想,应用服务器为tomcat 6.0.29

看我如何拿下公司的办公服务器 利用检测


tomcat 6.0.29已知有一个漏洞CVE-2016-8735,检测后发现漏洞不存在

好吧,已知的漏洞都修复了


漏洞挖掘


审查功能点,发现除了登录功能,下图圈出的3个地方还有下载功能

看我如何拿下公司的办公服务器

点击“FLASH插件下载”

看我如何拿下公司的办公服务器
点击图标会下载“Adobe+Flash+Player+for+IE_10.exe”,


鼠标移动到图标,会出现下载链接,点击鼠标右键,选择复制链接地址:

http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/usr/local/tomcat6.0.29/webapps/art/page/resource/utils/Adobe%20Flash%20Player%20for%20IE_10.exe&fileName=Adobe%20Flash%20Player%20for%20IE_10.exebr


一看,妥了,目录遍历漏洞+网站物理路径泄露

修改url为:

http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/etc/passwd&fileName=passwdbr

可以下载/etc/passwd

修改url为:

http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/etc/shasow &fileName=shadowbr

可以下载/etc/shasow(哇,我好幸运),说明tomcat应该是以root权限启动的,这就舒服多了


现在的思路是读取tomcat-users.xml,然后登陆manager,


首先猜测tomcat-users.xml的路径


为/usr/local/tomcat6.0.29/webapps/conf/tomcat-users.xml,


访问后成功读到,然后访问/manager/,结果返回状态码400

看我如何拿下公司的办公服务器

状态码400表示语法错误,怀疑/manager/要么被删掉,要么被修改,且很大可能被删掉,抱着试试看的态度,用御剑爆破一波目录,还是无果

看我如何拿下公司的办公服务器

tomcat-users.xml 都读到了,/manager/竟然不能访问,有点失望,


回到之前拿到的信息,/etc/shadow中有密码的用户有3个,


分别是root、dongda、oracle,


拿到cmd5中去破解,前2个无果,但是用户oracle的密码能跑出来


看我如何拿下公司的办公服务器
可是防火墙只对端口8888做了映射,拿到口令也登录不上啊,思考中。。。

咦,我不是在内网中嘛,可以访问内网ip,但是没有内网ip啊。。。


对了,我可以读ip配置文件啊


先查看操作系统版本,猜测操作系统是centos,尝试读取文件/etc/redhat-release试试,成功读到:

Red Hat Enterprise Linux Server release 5.4 (Tikanga)
red hat系统中ip的配置文件位于/etc/sysconfig/network-scripts/ifcfg-eth0,后面的eth0是系统的网卡名,不同系统的网卡名不同,不过red hat 5.4这么老的系统,网卡名是eth0的概率会大一些吧,尝试读取ip配置,成功读到,哇噢,拿到ip了

看我如何拿下公司的办公服务器

使用之前破解的凭证,ssh登录目标主机,成功登录

看我如何拿下公司的办公服务器


权限提升

已知系统为Red Hat Enterprise Linux Server release 5.4 (Tikanga),记得red hat 5.4有一个提权漏洞cve-2010-3847,上传提权脚本,执行后不出意外拿到了root权限


看我如何拿下公司的办公服务器


声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本公众号及原作者不承担相应的后

学习更多渗透技能!供靶场练习技能


看我如何拿下公司的办公服务器

扫码领黑客视频资料及工具

看我如何拿下公司的办公服务器

原文始发于微信公众号(渗透师老A):看我如何拿下公司的办公服务器

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月10日22:30:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  看我如何拿下公司的办公服务器 http://cn-sec.com/archives/994344.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: