滲透入侵老臺灣服務器拿權限 www.dumiaotech.com灰鴿子下載

admin

這些天滲透一個臺灣的網站，但是由于目標找錯了 于是就有了下面的故事。

0x02收集信息


先大概看了一下域名和環境  主要有三個 ：  


       www.xxx.org.tw 主站  在一臺windows2003服務器上  iis6
epaper.xxx.org.tw  電子報  也是在一臺windows2003服務器上 iis6  和主域名在一個C上
webmail.xxx.org.tw  郵件系統  在一臺linux服務器上 apache  和主站在一個C上                     
caucus.xxx.org.tw     看不懂那個繁體字。。

主站是php的  我想先了解一下主站的大致框架  就直接拖WVS里面跑去了  結果一會我就上不去了  目測是被檢測系統加入黑名單了 汗。。我只有一個vpn 咋辦。。。
最后發現那個繁體字的可以上去  我覺定嘗試滲透那個站        
那個站php的程序 但是有些奇怪 用js做的鏈接  有些暈  找不到參數  嘗試構造了幾個 都不對 服務器上只有那一個站   最后決定C段 先放到工具里找一下C段有哪些服務器 找到的如下

點開幾個網站 有一個是郵件系統 有一個是攝像頭監控（看了一會 挺有意思）最后我把目標鎖定在了一個ip上  一個食品店。

0x03初次嘗試

我先看了一下網站，應該是自己開發的程序，因為我google了一下沒有發現類似名稱的腳本文件。嘗試mstsc連接3389  但是被拒絕了   于是放到WVS里跑 自己先干點別的。。 做什么呢，因為服務器版本很舊，我想嘗試一下直接溢出攻擊。于是上vps打開 msf  網站最后的文章更新時間是2009年，應該服務器很久沒維護了，先試了試ms08-067  結果沒有成功  又search了幾個溢出的漏洞  都失敗了 看來直接從msf溢出有點困難   然后看了看WVS的結果
太好了 有Sql注入  找到了后臺界面  還找到了注入點    six_pro_class_data.asp?cla_id=31  
應該看了看是數字型的  就直接在數字后面加了個a  然后報錯


看了看應該是access的數據庫  就放到明小子里跑  結果沒跑出東西來  于是放到Sqlmap里面去 那個字典大  跑了一會 竟然顯示是windows 2000的服務器！  過了一會跑出了表名  admin_login  但是字段跑不出來了 只跑出來一個c_id...蛋疼   這時候想起一個朋友發過的
嘗試了一下   但是表只有7個  就是說 union select  1,2,3,4,5,6,7就結束了  就沒有成功  不知道是不是方法不對  大牛可以幫忙回答一下。。
最后想了想  因為已經跑出來了一個表名是c_id  我猜想其他的可能也是c_什么的  于是自己做了個字典  在sqlmap的字典上全都批量加上c_   驚喜出現了 跑出來了c_username  c_passwd 的表名  數據也就出來了 用戶名有四個 密碼都是1234   進后臺看了一下  非常簡陋  圖片都是從ftp上傳的貌似  沒找到其他上傳的地方 蛋疼了  思路一下子斷了      

0x04 峰回路轉   

我記得看過一句話 滲透這東西就是在絕望的時候忽然找到一個突破點  然后把目標撕個粉碎
沒法上傳  只能想別的思路了  我看管理員密碼都設置的挺弱智的  我想試著猜一下ftp的密碼  在試到第三個的時候 進去了！竟然根目錄是在c盤下！本來可以直接替換sethc.exe  但是3389連不上 我覺定還是先上傳個asp大馬 結果上傳上去 發現訪問錯誤  貌似是iis版本太低了 上傳了好幾個都不行  最后干脆上傳一句話  然后菜刀連接  這次成功了！打開菜刀帶的虛擬終端  先ipconfig 看了一下  是在內網  然后netstat -an看了一下


奇怪的3456端口 我猜想可能是改成3456了 想lcx轉發出來試試  但是蛋疼的是 lcx -listen 8080  3389   然后服務器轉發  但是8080端口一直遲遲接收不到數據包。。。。蛋疼   嘗試pr提權 但是服務器太老了 不成功。。f4ck工具包里有個iis5的提權  結果傳上去被殺了  暈  思路又斷了      隨便翻打開的東西  忽然發現進入ftp的時候顯示的是serv-u  趕緊找到serv-u的目錄  看了一下配置文件  因為ftp可以修改的  所以直接在權限里加個E 就能執行命令了  ftp上去 輸入  quote site exec ipconfig  竟然顯示error2  我去！ 這咋辦？  google一下  最后發現一個小黑闊以前也遇到過  他的解決方案是自己上傳個net.exe  我把他本地的復制到c盤根目錄下 然后執行  成功了！ 提權成功了
但是3389連接不上  想著放個木馬上去  結果被殺了   我又不想麻煩人家去做免殺     這咋辦？   漫無目的的看打開的程序  看了看端口  發現5631端口是打開的！  也就是說 這臺古老的服務器上安裝了 pcAnywhere！然后去C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere目錄中了它的  cif文件，再用放到破解器里得到了用戶名和密碼
0x05內網滲透

提下服務器就該進行內網滲透了 菜鳥一個 用cain嗅探  上傳cain嗅探  但是發現c段中只有一臺服務器！  這次傻眼了   但是也不像是CDN做的最終。。。完工。。。

null

拜大神。。。