Не могу доковырять портал

Discussion in 'Песочница' started by Muracha, 22 Feb 2018.

  1. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    И до сих пор в недоумении. То ли лыжи не едут, то ли я под меладонием все это время. Или просто невезет.
    На одну компанию, которая занимает не последнюю строчку в поисковике я накопал кучу ссылок, доменов, поддоменов, каких-то скриптов, учетных записей и БД...но нет результата.
    Не могу найти phpmysql или что-то подобное, дающее возможность кидануть шелл.
    Потратил кучу времени но с пользой(изучая области, которые раньше не касались, но присутствуют на сайте компании).
    Отблагодарю чисто символически или нет(по договоренности), если поможете по братски в этом нелегком деле(не тупой, но второй месяц не могу найти админку, все там наворочено) и залить шелл.
    Или найти phpmyadmin.
    Или что-то там еще.
    Или можете подсказать какой-нибудь неодинарный вектор атаки на сайт, если на сайте отсутствуют sql-php-inj

    Что было сделано:
    По всем доменам/субдоменам прошелся dirb
    По демонам прошелся nmap
    Просканировал резервные IP номера и выцепил оттуда скрытые сервисы
    Подобрал пароль только к одной учетке но и та оказалась не але.
    Обошел вдоль и поперек яндекс, гугл, бинг.
     
  2. Nufai

    Nufai Member

    Joined:
    5 Nov 2017
    Messages:
    56
    Likes Received:
    9
    Reputations:
    0
    Ну, если CMSка, то можно почекать извесные уязвимости, если самописное что-то, то перерыть разные варианты ввода можно - скобки(и другие спец символы), нул-чарактеры, дайректори траверсал и прочие общеизвесные методы.
    Если ищешь pma, или еще что-то, попробуй узнать провайдера, так можно узнать, по какому принципу искать. sqlmap, если еще не пробовал, можно ввести в дело.
    Можно поискать всякие модули типа файловых менеджеров и погуглить их уязвимости. ftp, если нашел, можно побрутить. Опять же, если что-то рукописное, то можно на Гитхабе чекнуть исходники.
    Больше на ум ничего не приходит пока
     
  3. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    Сервер - выделенный сервер, возможно вообще виртуализация. То есть могли заморочиться, поставить винду и сверху виртуалку. По крайней мере я там нашел xen
    На одном домене самопис, на другом популярная cms, к которой эксплоиты не применишь, но методом брута удалось найти конфигурационные бак файлы :D
    Где есть самопис я раз 10 пытался пробрутить на поиск файловых менеджеров но не але. Сложность в том, что там настроено криво(а может и нет .htaccess) который выдает много ложных сигналов.
    Не могу брутить т.к. не знаю логинов.
    Некоторые скрипты поставлены криво и удалось вызвать раскрытие путей. Но на этом везение заканчивается. Но такие ошибки, что я просто не понимаю их значение.
    Может туп, а может действительно мало что из них выйдет
    Code:
    Message: Missing argument 3 for form_list_change()
    Error Type: Warning, Error Number: 2
    Ну или самописная цмс с отладочной инфой по проекту(видимо эксперементировали и забыли)
    в одной строчке вбиваешь данные и пишет "{"osmp_txn_id":"-85","prv_txn":{},"result":"0","comment":"OK"}"
    в другой вылазит таблица и поди разбери, что это значит:

    Code:
    #<\/th>    Time<\/th>    Memory<\/th>    Function<\/th>    Location<\/th><\/tr>\n
    1<\/td>    0.0007<\/td>    243616<\/td>    {main}( )<\/td>    ..\/index.php:<\/b>0<\/td><\/tr>\n
    2<\/td>    0.0342<\/td>    2711160<\/td>    Emulator\\Application\\Bootstrap\\PaymentSystem->run( )<\/td>    ..\/index.php:<\/b>26<\/td><\/tr>\n

     
    Vovo4ka likes this.
  4. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    На сайте нашел директории, объясните их значения или поправьте, если не прав.
    /.subversion/auth/svn.simple/
    с файлом "acb8cdf444d15b6de3f81ar0f8f7" а там логин и пароль?
    И что означают passtype, симпл?
    Code:
    K 8
    passtype
    V 6
    simple
    K 8
    password
    V 13
    rfrjqnjgfhjkm
    K 15
    svn:realmstring
    V 54
    <https://site:443> Use your AD account
    K 8
    username
    V 7
    broiler
    END
    Дальше есть другой файл в папке: svn.ssl.server
    два файла.
    Что означает этот ключ? Возможность авторизоваться на сервере?(я его урезал намеренно, поменял,чтобы не проиндексировался) Или тупо сертификат серверу без логинов и паролей?

    Code:
    K 10
    ascii_cert
    V 1708
    MIIE/TCCA+WgAwIBAgISA/NyeXB0IEF1dGhvcml0eqipRwsLkfW2zR8M7TTZQEsbn0QGiHMggEKAyMDBaFw0dt51Lslr25iI5ukueWU/+hPh9gR1MZXQncyBFbmNyeXB0MSMwIQYDVQQDExpMZXQncyBFbmDQEBAQUAA+mYOEV/DVQQKEwSBYMzAeFw0xNzA3MTAxNTIBaMBgxFjAUBgNVNQsqz1vQPmx3RxNzEwMDgxNTIyMDoIBAQDY/RVd88IzDJkQ23Dorsmpk2ptneBvMcuYLrCi5QJkcBdziG8CSqGSIb3DQEBCwUAMEoxCzAJBgNVBAYTAlVTMRYwFAYBAMTDXN2bi56emltYS5uZXQwggEiMA0GCSqGSIb34IBDwAwMA0G
    K 8
    failures
    V 1
    0
    K 15
    svn:realmstring
    V 25
    https://site.ru:443
    END
     
  5. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    https://ru.wikipedia.org/wiki/Subversion
     
  6. lifescore

    lifescore Elder - Старейшина

    Joined:
    27 Aug 2011
    Messages:
    630
    Likes Received:
    492
    Reputations:
    69
    Разобрался? Довольно просто же
     
  7. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    simple это не зашифрованный пароль, если шифрация, то там будет например wincrypt.
    Осталось найти панель. Попробуй добавить svn. к домену или чекни ssh порт svn (3690)
     
    lifescore likes this.
  8. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    С этим то я разобрался, что есть логин в открытом виде "broiler" и пароль "
    rfrjqnjgfhjkm" - но совершенно непонятно куда его можно применить.
    У компании есть два svn домена, которые по сути, дублируют друг друга.
    Но мне неясно одно: есть ли панель управления svn репозитарием, за счет чего оно управляется и к какой учетной записи принадлежит "broiler"

    порт 3690 - закрыт, его нет совсем, а логин-пасс не подходят к учетке.
    Маловероятно, что панель управления будет где-то на другом ip
     
    #8 Muracha, 9 Mar 2018
    Last edited: 9 Mar 2018
  9. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    Ну и конечно вопрос еще в другом. Нашел файлы *php.bak
    За все время администрирования сайтов не встречал скриптов или программ, которые создавали резервные копии с расширением bak
    Наверняка там лежит что-то еще из разряда резервных копий, но совершенно непонятно какой скрипт или программа создает их
     
  10. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,564
    Reputations:
    40
    Ты не поверишь, в 90% - это руки
     
    cat1vo likes this.
  11. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    Или криворукость. Мне очень хочется поделиться тем, что я нарыл с общественностью, но понимаю, что рано. ну вот как так.
    Создать резервную копию конфиг файла и сделаь доступным для скачивания..не index.php.bak, ни какие-то классы ,а именно конфиги..это надо додуматься. Вот крупная фирма, известная на слуху, но доступные конфиги, одинаковые пароли, открытые svn каталоги..
    Спасает то, что я не могу найти phpmyadmin - ни по какому адресу ее нет. Ни по Pmx ни по phpmyadmin и тд.
    А брутить стал прямым перебором.
     
  12. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,564
    Reputations:
    40
    Какой ты, ну ваще крутой. Просто нет слов, настоящий спец, даже круче
     
    lifescore likes this.
  13. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    Ну вот сейчас только не надо мои слова искажать так, что я понтуюсь, это здесь ни к чему и не уместно.
    Я описываю действия, которые уже были сделаны.
    Если есть какие-то другие варианты, возможности, способы, которые дадут шанс залить шелл - а ради этого и была создана тема, я буду безмерно благодарен и даже больше.
    Об этом уже писал в самом начале.
    Прямой перебор до 4 букв - было.
    Брут по словарю - было
    Перебор доменов и по ip - сделано. Нашел криво настроенный конфиг zen и activecampany - в обоих случаях вывод ошибок.
    Нашел каталоги svn, но не панель управления. Может что-то и можно там сделать, но знаний не хватает. Ошибки нетипичны.
     
  14. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,564
    Reputations:
    40
    Прости. Обязательно держи нас в курсе дел. Я подписался на обновление темы.
     
    cat1vo likes this.
  15. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    831
    Likes Received:
    817
    Reputations:
    90
    :p
     
    _________________________
  16. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    А с чего ты взял что phpmyadmin должен вообще быть?
     
  17. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    Чисто логически предполагаю, что если установлен форум, джумла + 100500 сервисов .которые требуют обращение к базе данных - есть смысл установить и myadmin.
    Но может и нет, как вы заметили, это 10% из 100
     
  18. lifescore

    lifescore Elder - Старейшина

    Joined:
    27 Aug 2011
    Messages:
    630
    Likes Received:
    492
    Reputations:
    69
    Зря ты так, паренек собрал и структуризировал отчетик с разведкой инфроструктуры по лучшем чем это делают безопасники с "киской" на бейдже. Не дошуршал пару моментов, с кем не бывает. В любом случае куда толковей чем 95% сброда зареганного тут за последние несколько лет которое не бэ нэ мэ.

    Попробую помочь, подтянем ТС по сесурити :cool:
     
  19. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,564
    Reputations:
    40
    Вообще ничего не увидел. Главное мне не понятна цель этого всего.
     
    lifescore likes this.
  20. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    Посмотреть на то, как устроено все изнутри.
    Это не 1 сайт построенный на wordpress - а организованная структура со своей внутренней кухней Многие вещи там самописные, многие скрипты сильно переделаны.
    До этого я не сталкивался и с 50% того, что я узнал, когда стал ковырять портал, а вслед за ним вылилось и то, что нужно познакомиться глубже с работой git, webdav, sv, pfense,devjira и zabbix, django и тд. -а до этого я про них вообще ничего не слышал!
    Это, конечно, не весь список. И я уверен, что гораздо больше мне откроется для изучения, когда смогу получить доступ ко внутреннему устройству и архитектуре построения системы компании.
    Ради этого я с Декабря морочу себе голову, да и тут...)
     
Loading...