Куда копать?

Discussion in 'Песочница' started by Diadlo, 8 Sep 2016.

  1. Diadlo

    Diadlo New Member

    Joined:
    24 Sep 2015
    Messages:
    19
    Likes Received:
    3
    Reputations:
    0
    Всем доброго времени суток. Такая ситуация: есть сайт. Нужно получить к нему хоть какой-нибудь доступ. nmap:
    PORT STATE SERVICE VERSION
    21/tcp open ftp ProFTPD or KnFTPD
    22/tcp open ssh OpenSSH 5.3 (protocol 2.0)
    53/tcp open domain PowerDNS 3.3.3
    80/tcp open http nginx 1.10.1
    49152/tcp filtered unknown
    Service Info: OS: Unix

    Для ftp и dns искал эксплоиты. Самые свежие не прошли. К остальному нет идей, откуда подступится
    whois не показал ничего интересного.
    Через digп получил (из интересного):
    • TXT запись "v=spf1 ip4:92.63.104.164 a mx ~all" Что это может обозначать?
    • MX записи в стиле mail.site.ru, которые редиректят на СОВЕРШЕННО другой сайт (стоит ли его исследовать? Какая может быть связь?)
    На 80 порту крутится сайт, у которого почти любая страница ридеректит на главную, контент которой немного рандомный. Прошелся dirb'ом. Из интересного нашел:
    • phpmyadmin/
    • service/ -- в которой не обнаружено ничего полезного, кроме js и css используемых логином
    • media/ -- харнит картинки с сайта
    • login -- Форма авторизации повторяющую стилистику вк, которая, очевидно, сохраняет данные в базу. После попытки залогинится отправляется POST запрос на эту же страницу с параметрами VK[login] и VK[pass]. Ни ручной поиск (в нем не силен), ни sqlmap не дали положительных результатов
    • custom -- Страница, на которую происходит перенаправление после авторизации. Получает POST "id=########", где указан некий номер
    Прошу помощи у опытных людей. Может я что-то упускаю. Ссылку на сайт не выкладываю, что бы не сочли очередной просьбой взломать

    ДОБАВЛЕНО: Забыл указать ещё одну страницу. Добавлена. Так же Burp помог откопать SSI иньекцию на форме логина. Однако "exec cmd" не дает никакого эффекта (ответ всегда пустой. А запись в файл ничего не меняет). Получил DOCUMENT_ROOT. Пробовал делать include /etc/passwd но не вышло. Может что-то не так делаю?
    Code:
    <!--#include virtual=".../../../../../../etc/passwd" -->
    
     
    #1 Diadlo, 8 Sep 2016
    Last edited: 8 Sep 2016
  2. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    кроме брутфорса директорий и сканироания нмапом бывают еще веб-уязвимости
     
    _________________________
  3. Diadlo

    Diadlo New Member

    Joined:
    24 Sep 2015
    Messages:
    19
    Likes Received:
    3
    Reputations:
    0
    Я догадываюсь :)
    Ну, это лишь поиск точек входа. Ведь неприменно должна быть возможность ввода каких-то данных, ведь так?
    В данном случае, я искал эти самые точки входа с помощью dirb. В результате нашел несколько. Но из них ничего полезного выудить не смог.
     
    #3 Diadlo, 8 Sep 2016
    Last edited: 8 Sep 2016
  4. korneev

    korneev New Member

    Joined:
    24 Aug 2016
    Messages:
    13
    Likes Received:
    3
    Reputations:
    2
    openssh < 6 значит можно пронумеровать пользователей. Потом отдаешь список юзеров на брут в гидру для ftp. (быстрее будет, чем брутить ssh)
    помимо dirb используй SecLists для данной технологии (php, java, aspx, etc...)
    Можешь пробрутить phpmyadmin, если он не защищен от брута (кстати, какая у него версия ?)
     
  5. Diadlo

    Diadlo New Member

    Joined:
    24 Sep 2015
    Messages:
    19
    Likes Received:
    3
    Reputations:
    0
    К бруту хотелось бы прибегать в последнюю очередь. Но 10k паролей из SecList уже не прошли.
    phpMyAdmin 4.10.0.16
     
  6. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Пфф. Если это так, то возможностей дохренища вообще. Это получается, ты любой файл (в рамках прав доступа) считать с сервера можешь. Если цмс не самописанная то можно считать её конфиг, а там пароль для коннекта к БД. Пхпмайадмин у тебя уже есть. Если самописанная, то можно руками поискать конфиг по стандартным путям. На этом сайте может и не быть дыр, зато другие сайты находящиеся на одном аккаунте могут быть дырявыми. Через бинг можно искать другие сайты на этом-же сервере.

    https://ru.wikipedia.org/wiki/Sender_Policy_Framework

    Я вот честно не понимаю нмап. На любом сервере, где работает ssh можно узнать версию ОС, а нмап этого досихпор не умеет. Подключаешься на 22 порт любым tcp-клиентом, даже телнетом и узнаёшь название и версию ОС.

    Дыры вообще могут быть там, где их не ждёшь. Взломать "влоб" можно вообще далеко не всё. Дыры могут быть, например, у хостера. А может на сайте сидит тупой саппорт и открывает любой присланный на почту файл. Вариантов тут море и никто не будет тебе рассказывать полный алгоритм взлома со всеми ветками его сценария.
     
  7. Diadlo

    Diadlo New Member

    Joined:
    24 Sep 2015
    Messages:
    19
    Likes Received:
    3
    Reputations:
    0
    Только файл из директории с самим сайтом. Скорее всего, на сайте работает правило, что /*/ редиректит на главную, если нет более точного правила для данного URL. Сайт самописный. Вряд ли есть CMS вообще.

    За линк на Sender Policy Framework спасибо.

    Не всегда на баннере указана ОС. В данном, например, случае баннер "SSH-2.0-OpenSSH_5.3". (Никогда не видел, что бы там была ещё и версия ОС)

    На сайте нет техподдержки/мыла админа
     
  8. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    PTR 92.63.104.164 = mhost13.ispserver.com
    Если домену в spf прописан этот айпишник - значит сайт хостится на ispserver.com
    На этом хостинге админы нормальные, маловероятно что ты найдёшь дыры в конфигурации самого сервера.

    Предполагаю, что взломать ты хочешь говносайт. Проще забить на это дело, оно не стоит трат времени.