看我如何拿下公司OA服务器
0x00 信息收集
目标地址:http://oa.xxx.com:8888/art/,访问后界面如下
获取某个系统shell后发现其是docker
nmap扫描全端口: nmap -v -A -p1-65535 -oN oa.xxx.com.txt oa.xxx.com
结果只开放了53/tcp和8888/tcp,如下图:
网络架构猜测:被扫描的ip应该是公司的出口防火墙,网站躲在防火墙的后面,防火墙开了8888端口转发到内部服务器,至于53/tcp可能是防火墙本身开的端口
系统方面的利用点应该没什么机会了,只能在web上寻找突破口
burp抓包,发送到repeater,由圈出来的2个地方可猜测,目标没有web服务器,应用服务器用的tomcat,后端开发语言是java
尝试不存在的路径,让服务器报错,确认之前的猜想,应用服务器为tomcat6.0.29
0x01 利用检测
tomcat 6.0.29已知有一个漏洞CVE-2016-8735,检测后发现漏洞不存在
好吧,已知的漏洞都修复了
0x02 漏洞挖掘
审查功能点,发现除了登录功能,下图圈出的3个地方还有下载功能
点击“FLASH插件下载”
点击图标会下载“Adobe+Flash+Player+for+IE_10.exe”,鼠标移动到图标,会出现下载链接,点击鼠标右键,选择复制链接地址:
http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/usr/local/tomcat6.0.29/webapps/art/page/resource/utils/Adobe%20Flash%20Player%20for%20IE_10.exe&fileName=Adobe%20Flash%20Player%20for%20IE_10.exebr
一看,妥了,目录遍历漏洞+网站物理路径泄露
修改url为:
http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/etc/passwd&fileName=passwdbr
可以下载/etc/shadow(哇,我好幸运),说明tomcat应该是以root权限启动的,这就舒服多了。
现在的思路是读取tomcat-users.xml,然后登陆manager,首先猜测tomcat-users.xml的路径为/usr/local/tomcat6.0.29/webapps/conf/tomcat-users.xml,访问后成功读到,然后访问/manager/,结果返回状态码400
状态码400表示语法错误,怀疑/manager/要么被删掉,要么被修改,且很大可能被删掉,抱着试试看的态度,用御剑爆破一波目录,还是无果
tomcat-users.xml 都读到了,/manager/竟然不能访问,有点失望,回到之前拿到的信息,/etc/shadow中有密码的用户有3个,分别是root、dongda、oracle,拿到cmd5中去破解,前2个无果,但是用户oracle的密码能跑出来
可是防火墙只对端口8888做了映射,拿到口令也登录不上啊,思考中。。。
咦,我不是在内网中嘛,可以访问内网ip,但是没有内网ip啊。。。
对了,我可以读ip配置文件啊
先查看操作系统版本,猜测操作系统是centos,尝试读取文件/etc/redhat-release试试,成功读到:
Red Hat Enterprise Linux Server release 5.4 (Tikanga)
red hat系统中ip的配置文件位于/etc/sysconfig/network-scripts/ifcfg-eth0,后面的eth0是系统的网卡名,不同系统的网卡名不同,不过red hat 5.4这么老的系统,网卡名是eth0的概率会大一些吧,尝试读取ip配置,成功读到,哇哦,拿到ip了。
使用之前破解的凭证,ssh登录目标主机,成功登录
0x03 权限提升
已知系统为Red Hat Enterprise Linux Server release 5.4 (Tikanga),记得red hat 5.4有一个提权漏洞cve-2010-3847,上传提权脚本,执行后不出意外拿到了root权限
0x04 附录
提权脚本使用过程可参考我的github:
https://github.com/ybdt/poc-hub/blob/master/2020_10_12_RedHat%205.4权限提升漏洞复现(CVE-2010-3847)/readme.md
看我如何拿下公司OA服务器相关推荐
- 记录泛微OA服务器SQL server 无法开启解决问题
事例背景: OA服务器CPU突然标高,持续不下,一开始以为是被挖矿了,遍历程序没有找到位置或者名字的程序,重启服务器后,用杀毒软件进行了全盘扫描: 服务器:windows 2008 R2 SP1 数据 ...
- 为什么所有公司OA系统都很难用?
在寻求管理软件/系统/应用的时候,人们通常都希望找到一套像手套合适手一样的系统来管理自己的公司,结果都发现找不到. 接下来,大家都会想到,我们自己来定制开发一套吧. 有些朋友会来问我的意见,一般我都会 ...
- 工作奇谈——公司OA逻辑BUG
闲来无事,上公司OA,查了查这个月工资(依旧少得可怜).OA查询工资先要输入独立密码,输入密码进入界面,偶然间瞄了一眼URL发现并没有变化,然后点击查询(OA只能查询自己的工资),URL又没有变化,职 ...
- 致远oa服务器端口怎么修改,致远oa服务器设置
致远oa服务器设置 内容精选 换一换 云耀云服务器创建成功后,您可以根据需求,修改云服务器的名称.系统支持批量修改多台云耀云服务器的名称,修改完成后,这些云耀云服务器的名称相同.登录控制台.单击管理控 ...
- 利用cpolar远程登录公司OA系统
随着信息化办公的快速推进,很多企业已经用上了OA系统,并且我们的日常工作几乎都要依靠OA系统完成.虽然OA体统的广泛应用带来了不少工作上的便利,但从某种程度上形成了限制,毕竟大部分OA系统需要在公司局 ...
- 如何在服务器搭建oa系统,如何在云主机搭建oa服务器
如何在云主机搭建oa服务器 内容精选 换一换 为了更加安全高效的使用云监控服务提供的主机监控功能,我们提供了最新方式的Agent授权方法.在安装主机监控Agent前,仅需要一键式单击该区域的授权按钮或 ...
- 如何修改oa服务器地址,oa服务器地址设置
oa服务器地址设置 内容精选 换一换 介绍常见的安全组配置示例.如下示例中,出方向默认全通,仅介绍入方向规则配置方法.不同安全组内的弹性云服务器内网互通仅允许特定IP地址远程连接弹性云服务器SSH远程 ...
- 正大集团oa系统服务器,正大oa服务器地址
正大oa服务器地址 内容精选 换一换 修改云服务器信息,目前支持修改云服务器名称及描述.您可以在API Explorer中直接运行调试该接口.PUT /v2.1/{project_id}/server ...
- oa系统服务器地址怎么查,如何查询oa服务器地址
如何查询oa服务器地址 内容精选 换一换 华为云帮助中心,为用户提供产品简介.价格说明.购买指南.用户指南.API参考.最佳实践.常见问题.视频帮助等技术文档,帮助您快速上手使用华为云服务. 无法正常 ...
最新文章
- 领域驱动设计(DDD)架构演进和DDD的几种典型架构介绍(图文详解)
- 超大规模预训练模型专场直播:模型真的越大越好吗?
- Django框架实现支付宝第三方支付
- Apache 和 Tomcat 服务器的区别
- 6月14 空控制器和空操作及命名空间
- mysql5.7 存储二进制_MySQL5.7 基于二进制包的安装
- 【python】装饰器小结(被装饰函数有/无返回值情况,保留被装饰函数信息)
- python nlp 中文伪原创_人工智能伪原创工具(AI伪原创)
- 【数据结构】——各种树的定义
- 如何用计算机录视频,怎么用电脑录制视频
- qzezoj 1641 黑暗城堡
- Python+Selenium多线程基础微博爬虫
- NSGA-Ⅲ算法的基本原理
- 港股暴涨利好有哪些板块?
- 修改“Applications”需要输入管理员名称和密码。
- 金三银四马上到了,找工作需要准备什么?
- golang 连接mysql 的时间参数loc, parseTime
- C#中Array类精讲
- html5页面缓存设置
- servlet3.1规范翻译:前言