对某webmail的渗透测试

主要是一些基本思路，如何从旁站渗透到目标主站

小弟小菜一枚，文章有不足的地方还希望多多见谅。。。。。。

    首先我们先针对目标进行思路整理。

    Webmail通常就是查看版本漏洞，旁站、c段、敏感目录泄露等！其他的一些方法脑子暂时短路想不到了......

     主域名：http://webmail.xxxx.xxx，Linux 、Apache 、 nmap扫描一下端口（nmap告诉我是windows很无奈，又想骗我。）没有获取到horde的版本号 继续往下进行，目录扫描的话先上御剑搞一波，不失所望。扫到一个test.php

    现在我们又获得新的信息webmail版本号（horde 3.3.10）、内核版（2.6.32-71.29.1.el6.x86_64）、绝对路径、ip。

    通过版本信息搜索公开漏洞，然而并没有。继续吧！！！

    没二级域名 查询二级域名的工具有很多，这里就不多介绍。

查了下同服域名存在25个瞬间感觉有戏。

    测了半天并没找到可以利用的漏洞 心灰意冷，这么容易就放弃哪能行。随便点进一个旁站，试了一下后台地址 发现登陆处没有验证码验证 可以爆破一波，输入admin admin抓包开启burp爆破，额 可能操作不当没抓到包 再抓一次，尴尬了  登陆成功......心里有句吗卖批。。。

    找个新闻发布的地方上传图片-->构建图片马命名为1.jpg-->burp抓包-->改包1.php-->ok成功上传，可是不解析 想一下该如何解决这个问题！！！ 我们可以上传.htaccess文件就可以解决这个问题，.htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置.通过htaccess文件，可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。 例如：

<FilesMatch "ht">

SetHandler application/x-httpd-php

</FilesMatch>

将其保存重命名为.htaccess再上传就ok  下面是我上传的大马。

    现在我们已经获取到主站旁站的一个权限 离主站已经不远了。查看一下我们现在的权限、查看内核版本、查看发行版...

Whoami              --获取当前用户名

Uname -a            --查看内核版本

cat /etc/*-release  --查看服务器版本

ifconfig

通过一些简单的收集得知处于内网（10.0.0.12）、内核版本（2.6.32-71.29.1.el6.x86_64）、CentOS 、当前用户权限（apache） 每次在提权的时候，我们都会一次又一次的测试，我们将搜索所有可能的提权技术，并依次应用，直到成功。

网上搜索前面所知的内核版本号看看有没有可以利用的exp，很凑巧 可以直接用脏牛（Dirty COW）进行提权，说干就干

脏牛的地址：（https://github.com/FireFart/dirtycow），说一下编译过程

$ gcc -pthread dirty.c -o dirty -lcrypt

$记得编译前把dirty默认用户（firefart）改为root，不然连接不上。

上传到shell里，然后执行:

$Chmod +x dirty    --给予权限

$./dirty 123       --执行增加密码

Ok用户已经弄好了 脏牛提权还是很简单的。

内网转发

转发可以用到reGeorg 、msf、ew、lcx......还有许多工具就不列举了。

这里只说一下reGeorg ......

先将reGeorg的对应脚本上传到服务器端，reGeorg提供了PHP、ASPX、JSP脚本，直接访问显示“Georg says, 'All seems fine'”，表示脚本运行正常。

github地址：https://github.com/sensepost/reGeorg

下面就进行连接了，心情好鸡冻

上传对应语言版本的tunnel文件到服务器上。然后本地访问上传的源文件，即可在本地与远程主机上形成一个http的回路。命令如下：python reGeorgSocksProxy.py -p 8080 -u http://xxxx/upload/tunnel.nosocket.php

Ok成功！！！

在kali里我们使用proxychains代理

下面再编辑配置一下proxychains：

$vim /etc/proxychains.conf
更改为
socks5     127.0.0.1 8080 //8080为你自己的端口，需要与reGeorg中设置的端口相同.
进行ssh连接 此内网机器的ssh端口为2278

Ok 成功登陆！！！（个人感觉用reGeorg有点卡，喜欢用msf进行转发）
通过find查找目标webmail的目录或者通过上面test.php文件获得的绝对路径进行翻找，上传shell

目标成功

上线！！！

打完收工！！

文章出处：欧米伽安全