admin 发表于 2013-1-4 20:07:21

误打误撞渗透进一台古老的台湾服务器

0×01 起因

这些天渗透一个台湾的网站,但是由于目标找错了 于是就有了下面的故事。
0×02收集信息
先大概看了一下域名和环境主要有三个 :www.xxx.org.tw 主站在一台windows2003服务器上iis6 epaper.xxx.org.tw电子报也是在一台windows2003服务器上 iis6和主域名在一个C上webmail.xxx.org.tw邮件系统在一台linux服务器上 apache和主站在一个C上caucus.xxx.org.tw   看不懂那个繁体字。。主站是php的我想先了解一下主站的大致框架就直接拖WVS里面跑去了结果一会我就上不去了目测是被检测系统加入黑名单了 汗。。我只有一个vpn 咋办。。。最后发现那个繁体字的可以上去我觉定尝试渗透那个站那个站php的程序 但是有些奇怪 用js做的链接有些晕找不到参数尝试构造了几个 都不对 服务器上只有那一个站   最后决定C段 先放到工具里找一下C段有哪些服务器 找到的如下
                              
点开几个网站 有一个是邮件系统 有一个是摄像头监控(看了一会 挺有意思)最后我把目标锁定在了一个ip上一个食品店。




0×03初次尝试


我先看了一下网站,应该是自己开发的程序,因为我google了一下没有发现类似名称的脚本文件。尝试mstsc连接3389但是被拒绝了   于是放到WVS里跑 自己先干点别的。。 做什么呢,因为服务器版本很旧,我想尝试一下直接溢出攻击。于是上vps打开 msf网站最后的文章更新时间是2009年,应该服务器很久没维护了,先试了试ms08-067结果没有成功


                                                
又search了几个溢出的漏洞都失败了 看来直接从msf溢出有点困难   然后看了看WVS的结果太好了 有Sql注入找到了后台界面还找到了注入点    six_pro_class_data.asp?cla_id=31

应该看了看是数字型的就直接在数字后面加了个a然后报错
                                                            
                                       

                  看了看应该是access的数据库就放到明小子里跑结果没跑出东西来于是放到Sqlmap里面去 那个字典大跑了一会 竟然显示是windows 2000的服务器!过了一会跑出了表名admin_login但是字段跑不出来了 只跑出来一个c_id…蛋疼   这时候想起论坛一个朋友发过的 偏移注入传送门:http://sb.f4ck.net/thread-3115-1-2.html
尝试了一下   但是表只有7个就是说 union select1,2,3,4,5,6,7就结束了就没有成功不知道是不是方法不对大牛可以帮忙回答一下。。
最后想了想因为已经跑出来了一个表名是c_id我猜想其他的可能也是c_什么的于是自己做了个字典在sqlmap的字典上全都批量加上c_   惊喜出现了 跑出来了c_usernamec_passwd 的表名数据也就出来了 用户名有四个 密码都是1234   进后台看了一下非常简陋图片都是从ftp上传的貌似没找到其他上传的地方 蛋疼了思路一下子断了


0×04 峰回路转   


我记得看过一句话 渗透这东西就是在绝望的时候忽然找到一个突破点然后把目标撕个粉碎
没法上传只能想别的思路了我看管理员密码都设置的挺弱智的我想试着猜一下ftp的密码在试到第三个的时候 进去了!竟然根目录是在c盘下!                                                            
                              
本来可以直接替换sethc.exe但是3389连不上 我觉定还是先上传个asp大马 结果上传上去 发现访问错误貌似是iis版本太低了 上传了好几个都不行最后干脆上传一句话然后菜刀连接这次成功了!打开菜刀带的虚拟终端先ipconfig 看了一下是在内网然后netstat -an看了一下                                                         
                                                            
3389没开 但是有个奇怪的3456端口 我猜想可能是改成3456了 想lcx转发出来试试但是蛋疼的是 lcx -listen 80803389   然后服务器转发但是8080端口一直迟迟接收不到数据包。。。。蛋疼   尝试pr提权 但是服务器太老了 不成功。。f4ck工具包里有个iis5的提权结果传上去被杀了晕思路又断了
随便翻打开的东西忽然发现进入ftp的时候显示的是serv-u赶紧找到serv-u的目录看了一下配置文件因为ftp可以修改的所以直接在权限里加个E 就能执行命令了


                                                      
ftp上去 输入quote site exec ipconfig竟然显示error2我去! 这咋办?google一下最后发现一个小黑阔以前也遇到过他的解决方案是自己上传个net.exe我把他本地的复制到c盘根目录下 然后执行成功了! 提权成功了


                                                         


                                                          但是3389连接不上想着放个木马上去结果被杀了   我又不想麻烦人家去做免杀   这咋办?   漫无目的的看打开的程序看了看端口发现5631端口是打开的!也就是说 这台古老的服务器上安装了 pcAnywhere!然后去C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere目录中下载了它的cif文件,再用放到破解器里得到了用户名和密码


                                          


最后连接上去控制了这台古老的windows 2000服务器


提下服务器就该进行内网渗透了 菜鸟一个 用cain嗅探上传cain嗅探但是发现c段中只有一台服务器!这次傻眼了   但是也不像是CDN做的有大牛能给小菜解答一下吗?最后 在凌晨5点我结束了这次渗透看着这台古老的windows2000服务器忽然想起了以前的日子。。
                                          
                                                   
页: [1]
查看完整版本: 误打误撞渗透进一台古老的台湾服务器