于是我们将注意力转移到论坛和聊天室。这两个服务一个监听在8080,一个监听在8888端口。直接输入:8080/, 我们看到了Tomcat4.1.10的欢迎页面,点击左边的管理链接::8080/admin ,我们得到了一个登录页面,虽然我们不知道口令,但是通过前面8070端口的漏洞,我们找到了Tomcat保存这些口令的文件,得到了管理用户名为admin,口令为空。于是我们就可以对整个Tomcat服务器进行管理了。
但这仍然不足以让我们在系统上运行命令。于是我们继续检查聊天室所在的8888端口。这个端口运行的是apache 1.3.26 +php 4.1.2。开始没有发现什么问题,突然想到前面发现的两个漏洞都与/admin有关,这个端口上会不会也有这个目录呢?在输入这个目录之后我们惊奇地发现,我们进入了一个phpMyadmin的管理界面。我们可以对整个数据库进行任意操作。由于数据库是MySQL,它支持从本地操作系统读入或者写入数据。因此我们在 test库中建立了一个简单的表,然后添加一条记录,记录的内容就是一个php文件的内容,我们想写入一个php文件,然后利用php调用外部命令的方法来执行命令。我们利用
select tt into outfile /path/test.php from kk
(感谢小许提供技术支持)
这样的命令来将数据库中的内容写到一个php文件里,但由于mysql是以mysql用户身份运行的,无法写到apache的目录中。所以这次尝试失败了。
我们又想到了一个方法,利用8070端口的漏洞我们可以访问任意系统文件,而8070端口是由tomcat提供服务的,如果我们可以设法在系统中创建一个. jsp文件,就可以远程访问这个jsp文件,它将被tomcat处理并运行。如果这个.jsp文件中的内容是一段执行系统命令代码,就可以运行系统命令了。
于是我们又重新编写了一段可以执行系统命令的jsp代码,将其输入测试表中,再次利用into outfile方法将其内容写到/tmp/test.jsp文件中,然后访问下列链接:
:8070/tt/tmp/test.jsp
对Linux服务器的一次渗透测试过程参考(2)
内容版权声明:除非注明,否则皆为本站原创文章。