对某webmail的渗透测试-对某webmail的渗透测试-华盟网

对某webmail的渗透测试

华盟学院山东省第二期线下学习计划

主要是一些基本思路,如何从旁站渗透到目标主站

小弟小菜一枚,文章有不足的地方还希望多多见谅。。。。。。

    首先我们先针对目标进行思路整理。

    Webmail通常就是查看版本漏洞,旁站、c段、敏感目录泄露等!其他的一些方法脑子暂时短路想不到了......

     主域名:http://webmail.xxxx.xxx,Linux 、Apache 、 nmap扫描一下端口(nmap告诉我是windows很无奈,又想骗我。)没有获取到horde的版本号 继续往下进行,目录扫描的话先上御剑搞一波,不失所望。扫到一个test.php

    现在我们又获得新的信息webmail版本号(horde 3.3.10)、内核版(2.6.32-71.29.1.el6.x86_64)、绝对路径、ip。

    通过版本信息搜索公开漏洞,然而并没有。继续吧!!!

    没二级域名 查询二级域名的工具有很多,这里就不多介绍。

查了下同服域名存在25个瞬间感觉有戏。

    测了半天并没找到可以利用的漏洞 心灰意冷,这么容易就放弃哪能行。随便点进一个旁站,试了一下后台地址 发现登陆处没有验证码验证 可以爆破一波,输入admin admin抓包开启burp爆破,额 可能操作不当没抓到包 再抓一次,尴尬了  登陆成功......心里有句吗卖批。。。

    找个新闻发布的地方上传图片-->构建图片马命名为1.jpg-->burp抓包-->改包1.php-->ok成功上传,可是不解析 想一下该如何解决这个问题!!! 我们可以上传.htaccess文件就可以解决这个问题,.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。 例如:

<FilesMatch "ht">

SetHandler application/x-httpd-php

</FilesMatch>

将其保存重命名为.htaccess再上传就ok  下面是我上传的大马。

    现在我们已经获取到主站旁站的一个权限 离主站已经不远了。查看一下我们现在的权限、查看内核版本、查看发行版...

Whoami              --获取当前用户名

Uname -a            --查看内核版本

cat /etc/*-release  --查看服务器版本

ifconfig

通过一些简单的收集得知处于内网(10.0.0.12)、内核版本(2.6.32-71.29.1.el6.x86_64)、CentOS 、当前用户权限(apache) 每次在提权的时候,我们都会一次又一次的测试,我们将搜索所有可能的提权技术,并依次应用,直到成功。

网上搜索前面所知的内核版本号看看有没有可以利用的exp,很凑巧 可以直接用脏牛(Dirty COW)进行提权,说干就干

脏牛的地址:(https://github.com/FireFart/dirtycow),说一下编译过程

$ gcc -pthread dirty.c -o dirty -lcrypt

$记得编译前把dirty默认用户(firefart)改为root,不然连接不上。

上传到shell里,然后执行:

$Chmod +x dirty    --给予权限

$./dirty 123       --执行增加密码

Ok用户已经弄好了 脏牛提权还是很简单的。

内网转发

转发可以用到reGeorg 、msf、ew、lcx......还有许多工具就不列举了。

这里只说一下reGeorg ......

先将reGeorg的对应脚本上传到服务器端,reGeorg提供了PHP、ASPX、JSP脚本,直接访问显示“Georg says, 'All seems fine'”,表示脚本运行正常。

github地址:https://github.com/sensepost/reGeorg

下面就进行连接了,心情好鸡冻

上传对应语言版本的tunnel文件到服务器上。然后本地访问上传的源文件,即可在本地与远程主机上形成一个http的回路。命令如下:python reGeorgSocksProxy.py -p 8080 -u http://xxxx/upload/tunnel.nosocket.php

Ok成功!!!

在kali里我们使用proxychains代理

下面再编辑配置一下proxychains:

$vim /etc/proxychains.conf
更改为
socks5     127.0.0.1 8080 //8080为你自己的端口,需要与reGeorg中设置的端口相同.
进行ssh连接 此内网机器的ssh端口为2278

Ok 成功登陆!!!(个人感觉用reGeorg有点卡,喜欢用msf进行转发)
通过find查找目标webmail的目录或者通过上面test.php文件获得的绝对路径进行翻找,上传shell

目标成功

上线!!!

打完收工!!

www.idc126.com

文章出处:欧米伽安全

本文由 华盟网 作者:一叶知秋 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
已赞2

发表评论