这些天渗透一个台湾的网站,但是由于目标找错了 于是就有了下面的故事。
0×02收集信息
先大概看了一下域名和环境 主要有三个 :
www.xxx.org.tw 主站 在一台windows2003服务器上 iis6
epaper.xxx.org.tw 电子报 也是在一台windows2003服务器上 iis6 和主域名在一个C上
webmail.xxx.org.tw 邮件系统 在一台linux服务器上 apache 和主站在一个C上
caucus.xxx.org.tw 看不懂那个繁体字。。
主站是php的 我想先了解一下主站的大致框架 就直接拖WVS里面跑去了 结果一会我就上不去了 目测是被检测系统加入黑名单了 汗。。我只有一个vpn 咋办。。。
最后发现那个繁体字的可以上去 我觉定尝试渗透那个站
那个站php的程序 但是有些奇怪 用js做的链接 有些晕 找不到参数 尝试构造了几个 都不对 服务器上只有那一个站 最后决定C段 先放到工具里找一下C段有哪些服务器 找到的如下
[attach]152[/attach]
点开几个网站 有一个是邮件系统 有一个是摄像头监控(看了一会 挺有意思)最后我把目标锁定在了一个ip上 一个食品店。
0×03初次尝试
我先看了一下网站,应该是自己开发的程序,因为我google了一下没有发现类似名称的脚本文件。尝试mstsc连接3389 但是被拒绝了 于是放到WVS里跑 自己先干点别的。。 做什么呢,因为服务器版本很旧,我想尝试一下直接溢出攻击。于是上vps打开 msf 网站最后的文章更新时间是2009年,应该服务器很久没维护了,先试了试ms08-067 结果没有成功
[attach]153[/attach]
又search了几个溢出的漏洞 都失败了 看来直接从msf溢出有点困难 然后看了看WVS的结果
太好了 有Sql注入 找到了后台界面 还找到了注入点 six_pro_class_data.asp?cla_id=31
应该看了看是数字型的 就直接在数字后面加了个a 然后报错
[attach]154[/attach]
看了看应该是access的数据库 就放到明小子里跑 结果没跑出东西来 于是放到Sqlmap里面去 那个字典大 跑了一会 竟然显示是windows 2000的服务器! 过了一会跑出了表名 admin_login 但是字段跑不出来了 只跑出来一个c_id…蛋疼 这时候想起论坛一个朋友发过的 偏移注入 传送门:http://sb.f4ck.net/thread-3115-1-2.html
尝试了一下 但是表只有7个 就是说 union select 1,2,3,4,5,6,7就结束了 就没有成功 不知道是不是方法不对 大牛可以帮忙回答一下。。
最后想了想 因为已经跑出来了一个表名是c_id 我猜想其他的可能也是c_什么的 于是自己做了个字典 在sqlmap的字典上全都批量加上c_ 惊喜出现了 跑出来了c_username c_passwd 的表名 数据也就出来了 用户名有四个 密码都是1234 进后台看了一下 非常简陋 图片都是从ftp上传的貌似 没找到其他上传的地方 蛋疼了 思路一下子断了
0×04 峰回路转
我记得看过一句话 渗透这东西就是在绝望的时候忽然找到一个突破点 然后把目标撕个粉碎
没法上传 只能想别的思路了 我看管理员密码都设置的挺弱智的 我想试着猜一下ftp的密码 在试到第三个的时候 进去了!竟然根目录是在c盘下!
[attach]155[/attach]
本来可以直接替换sethc.exe 但是3389连不上 我觉定还是先上传个asp大马 结果上传上去 发现访问错误 貌似是iis版本太低了 上传了好几个都不行 最后干脆上传一句话 然后菜刀连接 这次成功了!打开菜刀带的虚拟终端 先ipconfig 看了一下 是在内网 然后netstat -an看了一下
[attach]156[/attach]
3389没开 但是有个奇怪的3456端口 我猜想可能是改成3456了 想lcx转发出来试试 但是蛋疼的是 lcx -listen 8080 3389 然后服务器转发 但是8080端口一直迟迟接收不到数据包。。。。蛋疼 尝试pr提权 但是服务器太老了 不成功。。f4ck工具包里有个iis5的提权 结果传上去被杀了 晕 思路又断了
随便翻打开的东西 忽然发现进入ftp的时候显示的是serv-u 赶紧找到serv-u的目录 看了一下配置文件 因为ftp可以修改的 所以直接在权限里加个E 就能执行命令了
[attach]157[/attach]
ftp上去 输入 quote site exec ipconfig 竟然显示error2 我去! 这咋办? google一下 最后发现一个小黑阔以前也遇到过 他的解决方案是自己上传个net.exe 我把他本地的复制到c盘根目录下 然后执行 成功了! 提权成功了
[attach]158[/attach]
但是3389连接不上 想着放个木马上去 结果被杀了 我又不想麻烦人家去做免杀 这咋办? 漫无目的的看打开的程序 看了看端口 发现5631端口是打开的! 也就是说 这台古老的服务器上安装了 pcAnywhere!然后去C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere目录中下载了它的 cif文件,再用放到破解器里得到了用户名和密码
[attach]159[/attach]
最后连接上去 控制了这台古老的windows 2000服务器
提下服务器就该进行内网渗透了 菜鸟一个 用cain嗅探 上传cain嗅探 但是发现c段中只有一台服务器! 这次傻眼了 但是也不像是CDN做的 有大牛能给小菜解答一下吗?最后 在凌晨5点 我结束了这次渗透 看着这台古老的windows2000服务器 忽然想起了以前的日子。。
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) | Powered by Discuz! X3.2 |