0x00 信息收集

目標地址：http://oa.xxx.com:8888/art/,訪問后界面如下

獲取某個系統shell后發現其是docker

nmap掃描全端口: nmap -v -A -p1-65535 -oN oa.xxx.com.txt oa.xxx.com

結果只開放了53/tcp和8888/tcp,如下圖:

網絡架構猜測:被掃描的ip應該是公司的出口防火墻，網站躲在防火墻的后面，防火墻開了8888端口轉發到內部服務器，至于53/tcp可能是防火墻本身開的端口

系統方面的利用點應該沒什么機會了，只能在web上尋找突破口

burp抓包，發送到repeater，由圈出來的2個地方可猜測，目標沒有web服務器，應用服務器用的tomcat，后端開發語言是java

嘗試不存在的路徑，讓服務器報錯，確認之前的猜想，應用服務器為tomcat6.0.29

0x01 利用檢測

tomcat 6.0.29已知有一個漏洞CVE-2016-8735，檢測后發現漏洞不存在

好吧，已知的漏洞都修復了

0x02 漏洞挖掘

審查功能點，發現除了登錄功能，下圖圈出的3個地方還有下載功能

點擊“FLASH插件下載”

點擊圖標會下載“Adobe+Flash+Player+for+IE_10.exe”，鼠標移動到圖標，會出現下載鏈接，點擊鼠標右鍵，選擇復制鏈接地址：

http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/usr/local/tomcat6.0.29/webapps/art/page/resource/utils/Adobe%20Flash%20Player%20for%20IE_10.exe&fileName=Adobe%20Flash%20Player%20for%20IE_10.exebr

一看，妥了，目錄遍歷漏洞+網站物理路徑泄露

修改url為:

?

http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/etc/passwd&fileName=passwdbr

可以下載/etc/shadow(哇，我好幸運),說明tomcat應該是以root權限啟動的，這就舒服多了。

現在的思路是讀取tomcat-users.xml，然后登陸manager，首先猜測tomcat-users.xml的路徑為/usr/local/tomcat6.0.29/webapps/conf/tomcat-users.xml，訪問后成功讀到，然后訪問/manager/，結果返回狀態碼400

狀態碼400表示語法錯誤，懷疑/manager/要么被刪掉，要么被修改，且很大可能被刪掉，抱著試試看的態度，用御劍爆破一波目錄，還是無果

tomcat-users.xml 都讀到了，/manager/竟然不能訪問，有點失望，回到之前拿到的信息，/etc/shadow中有密碼的用戶有3個，分別是root、dongda、oracle，拿到cmd5中去破解，前2個無果，但是用戶oracle的密碼能跑出來

?

可是防火墻只對端口8888做了映射，拿到口令也登錄不上啊，思考中。。。

咦，我不是在內網中嘛，可以訪問內網ip，但是沒有內網ip啊。。。

對了，我可以讀ip配置文件啊

先查看操作系統版本，猜測操作系統是centos，嘗試讀取文件/etc/redhat-release試試，成功讀到：

Red Hat Enterprise Linux Server release 5.4 (Tikanga)
red hat系統中ip的配置文件位于/etc/sysconfig/network-scripts/ifcfg-eth0,后面的eth0是系統的網卡名，不同系統的網卡名不同，不過red hat 5.4這么老的系統，網卡名是eth0的概率會大一些吧，嘗試讀取ip配置，成功讀到，哇哦，拿到ip了。

使用之前破解的憑證，ssh登錄目標主機，成功登錄

0x03 權限提升

已知系統為Red Hat Enterprise Linux Server release 5.4 (Tikanga)，記得red hat 5.4有一個提權漏洞cve-2010-3847,上傳提權腳本，執行后不出意外拿到了root權限

0x04 附錄

提權腳本使用過程可參考我的github：

https://github.com/ybdt/poc-hub/blob/master/2020_10_12_RedHat%205.4權限提升漏洞復現（CVE-2010-3847）/readme.md

總結

以上是生活随笔為你收集整理的看我如何拿下公司OA服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。