PS:本文仅用于技术研究与讨论,严禁用于非法用途
这几天安全圈都在转发everthing的信息泄露的漏洞,自己google搜索一下找到了一个IP,看到里面的内容才有这篇文章。
我慢慢遍历查看服务器存储了什么内容,接着我看到他在D盘有一个tomcat目录并且里面有一个web登录系统,于是我就在想,怎么利用信息泄露获取到服务器的权限呢?
由于everything是检索电脑所有磁盘的内容并且我可以在web看到所有的内容,这就回归到数学的问题,根据已知的信息去计算出方程。
由于那个服务器没有啥东西,而且不能公开,于是我就自己搭建了一个测试环境,尽量去模拟漏洞环境。
测试环境: win7 tomcat7 everything最新 mysql-server webgoat
首先需要开启everything的http服务器
这样就会出现如同google搜索关键字的页面
在D盘目录下找到了一个txt文件,看到这个文件,第一个思路就是看它有没有运行RDP服务(3389端口),由图二看到这是内网服务器的密码表,我们就则可以利用社会工程学去生成爆破字典进行服务爆破。
假如RDP服务没有开启,我们继续看盘符,往下找,找到了一个tomcat目录,也就是说服务器可能启动了tomcat服务(没有用端口扫描)
tomcat默认8080端口启动,看到可以登录到tomcat管理后台
按取消就可以进入到一个401页面,有提示登录的配置文件在那里,我们用everything查看这个配置文件
幸运的是,管理员设置了tomcat管理后台的登陆密码
剩下就是登录进入管理后台,直接上传war包的webshell
假如tomcat-user.xml没有这段代码呢?也就是说我们登录不到tomcat后台管理页面
<role rolename="manager-gui"/> <user username="tomcat" password="s3cret" roles="manager-gui"/>
接着,我们继续往下查看目录,我们在webapps找到了一个war包(我用webgoat模拟真实的环境)
现在我们知道服务器有一个是webgoat的系统,打开这个系统发现,居然是一个后台登录页面,第一时间就对这些输入框进行SQL注入检查,不过遗憾的是,没有SQL注入漏洞。
现在有一个思路就是下载war包到本地,查看war包的数据库连接信息(虽然是HSQLDB,但是把它当作MySQL吧=-=)
这样我们找到了数据库的连接的用户名和密码,接着思路就有两个:
一查看MYSQL有没有对外开放端口,如果有的话,就直接使用上面的账号密码进行登录,写webshell,进行nc反弹提权。
二MySQL端口不开放的情况下,就是直接下载mysql的数据库,然后本地恢复数据
假如只是为了获取数据,那就到此就可以结束了,如果为了获取服务器,那就只能通过恢复数据库,来获取webgoat的user表,用这个user表的信息进行登录,对后台管理系统进行渗透测试,找出可以获取到服务器权限的漏洞。
来源:freebuf.com 2020-07-07 20:40:33 by: 陌度
请登录后发表评论
注册