Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси за допомогою найбільш продвинутих інструментів спільноти. Отримайте доступ сьогодні:

При роботі з HTTP-сервером з увімкненим WebDav можна маніпулювати файлами, якщо у вас є відповідні підтвердження, як правило, перевірені через HTTP Basic Authentication. Отримання контролю над таким сервером часто включає завантаження та виконання веб-оболонки.

Доступ до сервера WebDav зазвичай потребує дійсних облікових даних, і брутфорс WebDav є поширеним методом їх отримання.

Щоб подолати обмеження на завантаження файлів, особливо ті, які перешкоджають виконанню серверних сценаріїв, ви можете:

• Завантажувати файли з виконуваними розширеннями безпосередньо, якщо вони не обмежені.

• Перейменовувати завантажені файли без виконання (наприклад, .txt) на виконуване розширення.

• Копіювати завантажені файли без виконання, змінюючи їх розширення на те, яке є виконуваним.

DavTest

Davtest намагається завантажити кілька файлів з різними розширеннями та перевірити, чи вони виконуються:

davtest [-auth user:password] -move -sendbd auto -url http://<IP> #Uplaod .txt files and try to move it to other extensions
davtest [-auth user:password] -sendbd auto -url http://<IP> #Try to upload every extension

Вихідний приклад:

Це не означає, що .txt та .html розширення виконуються. Це означає, що ви можете отримати доступ до цих файлів через веб.

Cadaver

Ви можете використовувати цей інструмент для підключення до сервера WebDav та виконання дій (наприклад завантаження, переміщення або видалення) вручну.

cadaver <IP>

PUT запит

PUT запит дозволяє клієнту відправити веб-серверу новий об'єкт або оновити існуючий об'єкт за вказаним URI.

curl -T 'shell.txt' 'http://$ip'

Запит MOVE

curl -X MOVE --header 'Destination:http://$ip/shell.php' 'http://$ip/shell.txt'

Використовуйте Trickest для легкої побудови та автоматизації робочих процесів, які працюють на найбільш продвинутих інструментах спільноти. Отримайте доступ сьогодні:

Уразливість IIS5/6 WebDav

Ця уразливість дуже цікава. WebDav не дозволяє завантажувати або перейменовувати файли з розширенням .asp. Але ви можете обійти це, додавши в кінець імені ";.txt", і файл буде виконаний, якщо це був файл .asp (ви також можете використовувати ".html" замість ".txt", але НЕ забудьте про ";").

Потім ви можете завантажити свій shell як файл ".txt" і скопіювати/перемістити його в файл ".asp;.txt". При доступі до цього файлу через веб-сервер він буде виконаний (cadaver скаже, що дія переміщення не вдалася, але вона вдалася).

Після введення облікових даних

Якщо Webdav використовував сервер Apache, вам слід переглянути налаштовані сайти в Apache. Зазвичай: /etc/apache2/sites-enabled/000-default

У ньому ви можете знайти щось на зразок:

ServerAdmin webmaster@localhost
Alias /webdav /var/www/webdav
<Directory /var/www/webdav>
DAV On
AuthType Digest
AuthName "webdav"
AuthUserFile /etc/apache2/users.password
Require valid-user

Як ви можете побачити, тут є файли з дійсними обліковими даними для сервера webdav:

/etc/apache2/users.password

У цьому типі файлів ви знайдете ім'я користувача та хеш пароля. Це облікові дані, які веб-сервер webdav використовує для аутентифікації користувачів.

Ви можете спробувати їх розшифрувати, або додати більше, якщо з якоїсь причини ви хочете отримати доступ до сервера webdav:

htpasswd /etc/apache2/users.password <USERNAME> #You will be prompted for the password

Для перевірки роботи нових облікових даних ви можете виконати:

wget --user <USERNAME> --ask-password http://domain/path/to/webdav/ -O - -q

Посилання

• https://vk9-sec.com/exploiting-webdav/

Використовуйте Trickest для легкої побудови та автоматизації робочих процесів за допомогою найбільш продвинутих інструментів спільноти у світі. Отримайте доступ сьогодні: