|
|
這些天滲透一個臺灣的網站,但是由于目標找錯了 于是就有了下面的故事。
0x02收集信息
先大概看了一下域名和環境 主要有三個 :
www.xxx.org.tw 主站 在一臺windows2003服務器上 iis6
epaper.xxx.org.tw 電子報 也是在一臺windows2003服務器上 iis6 和主域名在一個C上
webmail.xxx.org.tw 郵件系統 在一臺linux服務器上 apache 和主站在一個C上
caucus.xxx.org.tw 看不懂那個繁體字。。
主站是php的 我想先了解一下主站的大致框架 就直接拖WVS里面跑去了 結果一會我就上不去了 目測是被檢測系統加入黑名單了 汗。。我只有一個vpn 咋辦。。。
最后發現那個繁體字的可以上去 我覺定嘗試滲透那個站
那個站php的程序 但是有些奇怪 用js做的鏈接 有些暈 找不到參數 嘗試構造了幾個 都不對 服務器上只有那一個站 最后決定C段 先放到工具里找一下C段有哪些服務器 找到的如下
3.jpg (57.45 KB, 下載次數: 446)
下載附件
灰鴿子
2013-1-4 23:33 上傳
點開幾個網站 有一個是郵件系統 有一個是攝像頭監控(看了一會 挺有意思)最后我把目標鎖定在了一個ip上 一個食品店。
0x03初次嘗試
我先看了一下網站,應該是自己開發的程序,因為我google了一下沒有發現類似名稱的腳本文件。嘗試mstsc連接3389 但是被拒絕了 于是放到WVS里跑 自己先干點別的。。 做什么呢,因為服務器版本很舊,我想嘗試一下直接溢出攻擊。于是上vps打開 msf 網站最后的文章更新時間是2009年,應該服務器很久沒維護了,先試了試ms08-067 結果沒有成功 又search了幾個溢出的漏洞 都失敗了 看來直接從msf溢出有點困難 然后看了看WVS的結果
太好了 有Sql注入 找到了后臺界面 還找到了注入點 six_pro_class_data.asp?cla_id=31
應該看了看是數字型的 就直接在數字后面加了個a 然后報錯
2.jpg (37.35 KB, 下載次數: 443)
下載附件
灰鴿子
2013-1-4 23:32 上傳
看了看應該是access的數據庫 就放到明小子里跑 結果沒跑出東西來 于是放到Sqlmap里面去 那個字典大 跑了一會 竟然顯示是windows 2000的服務器! 過了一會跑出了表名 admin_login 但是字段跑不出來了 只跑出來一個c_id...蛋疼 這時候想起一個朋友發過的
嘗試了一下 但是表只有7個 就是說 union select 1,2,3,4,5,6,7就結束了 就沒有成功 不知道是不是方法不對 大牛可以幫忙回答一下。。
最后想了想 因為已經跑出來了一個表名是c_id 我猜想其他的可能也是c_什么的 于是自己做了個字典 在sqlmap的字典上全都批量加上c_ 驚喜出現了 跑出來了c_username c_passwd 的表名 數據也就出來了 用戶名有四個 密碼都是1234 進后臺看了一下 非常簡陋 圖片都是從ftp上傳的貌似 沒找到其他上傳的地方 蛋疼了 思路一下子斷了
0x04 峰回路轉
我記得看過一句話 滲透這東西就是在絕望的時候忽然找到一個突破點 然后把目標撕個粉碎
沒法上傳 只能想別的思路了 我看管理員密碼都設置的挺弱智的 我想試著猜一下ftp的密碼 在試到第三個的時候 進去了!竟然根目錄是在c盤下!本來可以直接替換sethc.exe 但是3389連不上 我覺定還是先上傳個asp大馬 結果上傳上去 發現訪問錯誤 貌似是iis版本太低了 上傳了好幾個都不行 最后干脆上傳一句話 然后菜刀連接 這次成功了!打開菜刀帶的虛擬終端 先ipconfig 看了一下 是在內網 然后netstat -an看了一下
1.jpg (55.75 KB, 下載次數: 447)
下載附件
灰鴿子
2013-1-4 23:32 上傳
奇怪的3456端口 我猜想可能是改成3456了 想lcx轉發出來試試 但是蛋疼的是 lcx -listen 8080 3389 然后服務器轉發 但是8080端口一直遲遲接收不到數據包。。。。蛋疼 嘗試pr提權 但是服務器太老了 不成功。。f4ck工具包里有個iis5的提權 結果傳上去被殺了 暈 思路又斷了 隨便翻打開的東西 忽然發現進入ftp的時候顯示的是serv-u 趕緊找到serv-u的目錄 看了一下配置文件 因為ftp可以修改的 所以直接在權限里加個E 就能執行命令了 ftp上去 輸入 quote site exec ipconfig 竟然顯示error2 我去! 這咋辦? google一下 最后發現一個小黑闊以前也遇到過 他的解決方案是自己上傳個net.exe 我把他本地的復制到c盤根目錄下 然后執行 成功了! 提權成功了
但是3389連接不上 想著放個木馬上去 結果被殺了 我又不想麻煩人家去做免殺 這咋辦? 漫無目的的看打開的程序 看了看端口 發現5631端口是打開的! 也就是說 這臺古老的服務器上安裝了 pcAnywhere!然后去C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere目錄中了它的 cif文件,再用放到破解器里得到了用戶名和密碼
0x05內網滲透
提下服務器就該進行內網滲透了 菜鳥一個 用cain嗅探 上傳cain嗅探 但是發現c段中只有一臺服務器! 這次傻眼了 但是也不像是CDN做的最終。。。完工。。。
|
|
加載中...
發表于 2013-1-4 23:45:37
QQ好友和群
收藏
發表于 2013-1-6 21:01:20
