中国钢铁商城 在线交易平台 jboss更新不及时,导致任意文件上传
漏洞页面:
http://www.steel-mall.com//invoker/JMXInvokerServlet jboss漏洞
直接利用exp(下载地址: http://buchedan.org/download/jboss-exploit.zip)获得webshell,此过程略。
可以参考: WooYun: 中国电信某站点JBOSS任意文件上传漏洞
对于web系统来说,最重要的不是服务器,而是数据库,因此找到数据库配置文件,获得数据库用户名和密码:
Oracle数据库。连接数据库
直接就是dba权限的,又是一台服务器。
查一下所有表中,有PASS开头的表
这个名字好像很熟悉。不知道是不是重名,出于好奇,想看看信息。
可以破解,使用用户名登录系统。
前面就不看了,就看一下钱好了
钢铁好多money,当年入错行,否则我也卖钢铁
近4w条记录。数据不算多,不继续看了。
这个站点可以在线交易,个人感觉信息,还是很重要的。从注册页面
http://124.160.106.43/memberReg.do
可以看出:
注册时,需要输入一些重要信息,如:
对应银行信息
主要为了突出信息的重要性。求通过。
站点基本上,就这样了,总是感觉不够通过的,因此继续研究一下内网渗透。
进行一下信息采集。
内网ip,管理员权限,那么是否可以渗透内网的所有机器呢。
如果进行内网测试,一般就要上内网扫描器了,但是很多扫描器都是图形界面的,因此就需要登录到服务器。而本服务器是内网ip,就需要转发出来,才能登录,这样就导致很麻烦,而且网速什么的,受到很大限制,不太稳定。
在一种进行内网测试,那就是在命令行下的,这就非 metasploit 莫属了,因为它继承了世界大牛的精华,小弟刚刚开始学习,还在入门级别徘徊,但是也愿意与大家分享一些简单的使用方法。
Metasploit 必须要建立一条网络连接,才能发挥它的作用,此时我已经获得webshell。因此,就需要建立一个payload连接上即可。但是由于目标服务器是内网ip,我的msf也是内网ip,怎样建立连接,就需要找一个公网ip进行转发,这个其实很容易,如果没有做过的,请参考以前的一点学习记录:http://www.buchedan.org/post/11.html
获得meterpreter
由于已经是管理员权限了,因此,直接hashdump,可以用户的hash值
接下来,为了扩大战果,就需要继续进行内网渗透了。但由于目标是内网,就需要添加路由,这个也是msf最强大的地方,方便制作跳板。
首先获得目标站点ip
说明添加好了。
首先判断一下,获得的密码是否通用。
将meterpreter后台运行(background)
调用smb_login进行hash传递。
但是并非每次测试都那么顺利,发现获得的密码,只适合本机器
这个网段有这几个ip.
先来看一下数据库的机器,因为已经是dba权限了。是内网的,先做一下映射
可见,映射成功了,而且是dba权限。通过创建java源等操作,最终可以执行命令,参考:http://www.buchedan.org/post/13.html
原来不是每个机器都是Guanliyuan是用户名。莫非可以搞到域管理?
很蛋疼,先添加一个管理员。
这样就获得了数据库机器的管理员权限。怎样连接呢,在回到meter中,让其后台运行,使用psexec模块,设置如下:
发现这两个机器就是无法连接的。这些有些蛋疼。
漏洞证明:
没有办法,只能登陆上服务器看看:
原来上面有vnc 而且记录里面连接的目标ip是9.110.1.207:5901 在看一下数据库机器,也开启了5901 因此可以猜测,与数据库端口一样,9.110.1.207:5901是数据库机器的5901的映射,因此查询获得数据库机器的vnc密码:
密码:
F0E43164F6C2E3739460781D0FC7CFF3 破解:123456789
登陆后发现系统已经注销,因此
使用刚才创建的用户名和密码登陆
登录成功
太卡了就不继续了。
当然本次测试不算成功,还有很多机器没有渗透进去,由于时间关系,就到这里了,同时也可以看出,一次成功的测试,真的是很不容易,如果运气好,可能几分钟,运气不好可能几天几年。。。。