И до сих пор в недоумении. То ли лыжи не едут, то ли я под меладонием все это время. Или просто невезет. На одну компанию, которая занимает не последнюю строчку в поисковике я накопал кучу ссылок, доменов, поддоменов, каких-то скриптов, учетных записей и БД...но нет результата. Не могу найти phpmysql или что-то подобное, дающее возможность кидануть шелл. Потратил кучу времени но с пользой(изучая области, которые раньше не касались, но присутствуют на сайте компании). Отблагодарю чисто символически или нет(по договоренности), если поможете по братски в этом нелегком деле(не тупой, но второй месяц не могу найти админку, все там наворочено) и залить шелл. Или найти phpmyadmin. Или что-то там еще. Или можете подсказать какой-нибудь неодинарный вектор атаки на сайт, если на сайте отсутствуют sql-php-inj Что было сделано: По всем доменам/субдоменам прошелся dirb По демонам прошелся nmap Просканировал резервные IP номера и выцепил оттуда скрытые сервисы Подобрал пароль только к одной учетке но и та оказалась не але. Обошел вдоль и поперек яндекс, гугл, бинг.
Ну, если CMSка, то можно почекать извесные уязвимости, если самописное что-то, то перерыть разные варианты ввода можно - скобки(и другие спец символы), нул-чарактеры, дайректори траверсал и прочие общеизвесные методы. Если ищешь pma, или еще что-то, попробуй узнать провайдера, так можно узнать, по какому принципу искать. sqlmap, если еще не пробовал, можно ввести в дело. Можно поискать всякие модули типа файловых менеджеров и погуглить их уязвимости. ftp, если нашел, можно побрутить. Опять же, если что-то рукописное, то можно на Гитхабе чекнуть исходники. Больше на ум ничего не приходит пока
Сервер - выделенный сервер, возможно вообще виртуализация. То есть могли заморочиться, поставить винду и сверху виртуалку. По крайней мере я там нашел xen На одном домене самопис, на другом популярная cms, к которой эксплоиты не применишь, но методом брута удалось найти конфигурационные бак файлы Где есть самопис я раз 10 пытался пробрутить на поиск файловых менеджеров но не але. Сложность в том, что там настроено криво(а может и нет .htaccess) который выдает много ложных сигналов. Не могу брутить т.к. не знаю логинов. Некоторые скрипты поставлены криво и удалось вызвать раскрытие путей. Но на этом везение заканчивается. Но такие ошибки, что я просто не понимаю их значение. Может туп, а может действительно мало что из них выйдет Code: Message: Missing argument 3 for form_list_change() Error Type: Warning, Error Number: 2 Ну или самописная цмс с отладочной инфой по проекту(видимо эксперементировали и забыли) в одной строчке вбиваешь данные и пишет "{"osmp_txn_id":"-85","prv_txn":{},"result":"0","comment":"OK"}" в другой вылазит таблица и поди разбери, что это значит: Code: #<\/th> Time<\/th> Memory<\/th> Function<\/th> Location<\/th><\/tr>\n 1<\/td> 0.0007<\/td> 243616<\/td> {main}( )<\/td> ..\/index.php:<\/b>0<\/td><\/tr>\n 2<\/td> 0.0342<\/td> 2711160<\/td> Emulator\\Application\\Bootstrap\\PaymentSystem->run( )<\/td> ..\/index.php:<\/b>26<\/td><\/tr>\n
На сайте нашел директории, объясните их значения или поправьте, если не прав. /.subversion/auth/svn.simple/ с файлом "acb8cdf444d15b6de3f81ar0f8f7" а там логин и пароль? И что означают passtype, симпл? Code: K 8 passtype V 6 simple K 8 password V 13 rfrjqnjgfhjkm K 15 svn:realmstring V 54 <https://site:443> Use your AD account K 8 username V 7 broiler END Дальше есть другой файл в папке: svn.ssl.server два файла. Что означает этот ключ? Возможность авторизоваться на сервере?(я его урезал намеренно, поменял,чтобы не проиндексировался) Или тупо сертификат серверу без логинов и паролей? Code: K 10 ascii_cert V 1708 MIIE/TCCA+WgAwIBAgISA/NyeXB0IEF1dGhvcml0eqipRwsLkfW2zR8M7TTZQEsbn0QGiHMggEKAyMDBaFw0dt51Lslr25iI5ukueWU/+hPh9gR1MZXQncyBFbmNyeXB0MSMwIQYDVQQDExpMZXQncyBFbmDQEBAQUAA+mYOEV/DVQQKEwSBYMzAeFw0xNzA3MTAxNTIBaMBgxFjAUBgNVNQsqz1vQPmx3RxNzEwMDgxNTIyMDoIBAQDY/RVd88IzDJkQ23Dorsmpk2ptneBvMcuYLrCi5QJkcBdziG8CSqGSIb3DQEBCwUAMEoxCzAJBgNVBAYTAlVTMRYwFAYBAMTDXN2bi56emltYS5uZXQwggEiMA0GCSqGSIb34IBDwAwMA0G K 8 failures V 1 0 K 15 svn:realmstring V 25 https://site.ru:443 END
simple это не зашифрованный пароль, если шифрация, то там будет например wincrypt. Осталось найти панель. Попробуй добавить svn. к домену или чекни ssh порт svn (3690)
С этим то я разобрался, что есть логин в открытом виде "broiler" и пароль " rfrjqnjgfhjkm" - но совершенно непонятно куда его можно применить. У компании есть два svn домена, которые по сути, дублируют друг друга. Но мне неясно одно: есть ли панель управления svn репозитарием, за счет чего оно управляется и к какой учетной записи принадлежит "broiler" порт 3690 - закрыт, его нет совсем, а логин-пасс не подходят к учетке. Маловероятно, что панель управления будет где-то на другом ip
Ну и конечно вопрос еще в другом. Нашел файлы *php.bak За все время администрирования сайтов не встречал скриптов или программ, которые создавали резервные копии с расширением bak Наверняка там лежит что-то еще из разряда резервных копий, но совершенно непонятно какой скрипт или программа создает их
Или криворукость. Мне очень хочется поделиться тем, что я нарыл с общественностью, но понимаю, что рано. ну вот как так. Создать резервную копию конфиг файла и сделаь доступным для скачивания..не index.php.bak, ни какие-то классы ,а именно конфиги..это надо додуматься. Вот крупная фирма, известная на слуху, но доступные конфиги, одинаковые пароли, открытые svn каталоги.. Спасает то, что я не могу найти phpmyadmin - ни по какому адресу ее нет. Ни по Pmx ни по phpmyadmin и тд. А брутить стал прямым перебором.
Ну вот сейчас только не надо мои слова искажать так, что я понтуюсь, это здесь ни к чему и не уместно. Я описываю действия, которые уже были сделаны. Если есть какие-то другие варианты, возможности, способы, которые дадут шанс залить шелл - а ради этого и была создана тема, я буду безмерно благодарен и даже больше. Об этом уже писал в самом начале. Прямой перебор до 4 букв - было. Брут по словарю - было Перебор доменов и по ip - сделано. Нашел криво настроенный конфиг zen и activecampany - в обоих случаях вывод ошибок. Нашел каталоги svn, но не панель управления. Может что-то и можно там сделать, но знаний не хватает. Ошибки нетипичны.
Чисто логически предполагаю, что если установлен форум, джумла + 100500 сервисов .которые требуют обращение к базе данных - есть смысл установить и myadmin. Но может и нет, как вы заметили, это 10% из 100
Зря ты так, паренек собрал и структуризировал отчетик с разведкой инфроструктуры по лучшем чем это делают безопасники с "киской" на бейдже. Не дошуршал пару моментов, с кем не бывает. В любом случае куда толковей чем 95% сброда зареганного тут за последние несколько лет которое не бэ нэ мэ. Попробую помочь, подтянем ТС по сесурити
Посмотреть на то, как устроено все изнутри. Это не 1 сайт построенный на wordpress - а организованная структура со своей внутренней кухней Многие вещи там самописные, многие скрипты сильно переделаны. До этого я не сталкивался и с 50% того, что я узнал, когда стал ковырять портал, а вслед за ним вылилось и то, что нужно познакомиться глубже с работой git, webdav, sv, pfense,devjira и zabbix, django и тд. -а до этого я про них вообще ничего не слышал! Это, конечно, не весь список. И я уверен, что гораздо больше мне откроется для изучения, когда смогу получить доступ ко внутреннему устройству и архитектуре построения системы компании. Ради этого я с Декабря морочу себе голову, да и тут...)