最新消息:

迂回渗透某就业信息网

内网渗透 admin 6195浏览 0评论

菜菜面临就业,有一天看到一个发布就业信息的网站,就萌生了脱它裤子的想法,说干就干,没想到引出一段曲折的过程。
1.主站突破
第一步先扫下端口,发现开放端口80和3389,登录3389发现是win2003。
查无注入点,而且发现网站自定义了错误页面
图片1.jpg
FCKeditor2.6.6无法上传文件
图片2.png
eWebeditor2.8无法突破上传
图片3.png
后台弱口令爆破、管理员社工字典爆破均告失败,nessus和WVS的扫描结果也没有收获。
发现一个反射型XSS,对XSS的了解只限于偷COOKIE,又发现cookie里没有用户名密码,不晓得怎么利用
图片4.png
2.  C段突破
扫了C段,发现一台机器,网站已经移到新地址去了,就没人管,可能比较好突破。
图片5.jpg
先用nessus扫了一下,有一个最严重漏洞ms09-050
图片6.jpg
直接上metasploit,不熟悉msf的机油可以看看《metasploit渗透测试指南》
图片7.jpg
图片8.jpg
第一次并没有返回cmdshell,反而把服务器打挂了我那个去- -。
过了一会儿,服务器自己重启了,于是乎,我又打了一次
图片9.jpg
好,成功了,这里提醒大家exploit的时候如果没成功,不妨多试几次,没准有惊喜。添加账户,准备进去了,结果发现,这次依然把服务器打挂了- -。服务器又瞬间自动重启,登进去之后发现和目标站不是一个子网,能得到的信息和本机一样,此路不通。
3.  C段再突破
另外找了一台跟目标站IP相近的,发现了注入
图片10.jpg
判断是不是SA权限
图片11.jpg
看来不是,看看是不是dbo权限
图片12.jpg
还好是dbo,直接差异备份一句话
图片13.png
Webshell到手
图片14.jpg
结果发现不能执行命令,赶紧上传一个自己的cmd
图片15.jpg
只有少得可怜的几个命令可以用,systeminfo也用不了,上个pr.exe试试
图片16.jpg
直接右键pr.exe选虚拟终端发现可以执行,看来是传参数的问题,上个无参数的pr
图片17.jpg
结果还是不行
图片18.jpg
当我在cmd里给命令加上双引号的时候
图片19.jpg
发现能够获取SYSTEM的token,但是命令没执行成功。怀疑是密码复杂度的问题,修改源代码试试,同时也指定了cmd.exe的路径
图片20.jpg
把有用到argv传参的都改成直接赋值,重新编译,成功!
图片21.jpg
总结一下,个人感觉就是这个双引号的问题,传参上面做了限制可能,有大牛知道的麻烦给小菜说一下。
4.内网嗅探
终于进来了,很好,看到目标站了,是台虚拟机
图片22.jpg
很给力,一进来就嗅探到mssql的密码,因为很晚了,就先放着,睡觉鸟。
第二天起床一看,目标站竟然挂了,数据库服务器在另一台上面,登上去看看。
图片23.jpg
我去,竟然没有权限,不能索引列出表名。
到了下午,目标站终于重新开机,然后发现嗅探到了web管理员密码
图片24.png
登进目标站后台,发现功能很简单,没有能获得webshell的地方,- -。
回到数据库这边,用wireshark抓一下1433端口的数据包,然后在目标站上随意登录一个账号,查看抓到的包,得到表名,裤子到手。

全程结束!谢谢观看

附录:本文使用的工具
搜索引擎:作用不解释
Nmap扫描器:扫描目标主机端口,获取开放服务信息
nessus扫描器:一款全面的扫描器,配合metasploit远程溢出获取了目标站C段一台机器的SYSTEM权限,后来发现不在一个子网。
WVS扫描器:一款十分强大的WEB漏洞扫描器
Metasploit:强大的漏洞利用工具
Burp suit:集多种功能于一身,本文中仅用来截包改包、爆破密码
Wireshark:抓包工具
Cain:  神器,集嗅探、破解多种功能于一身
御剑1.5:旁注利器
IIS write写权限利用工具:虽然这个机会很小,还是试试
中国菜刀:神器不解释
pr:提权工具
GetWebshell增强版:mssql差异备份一句话

小编注:作者你倒是把pr源码发出来啊….

转载请注明:jinglingshu的博客 » 迂回渗透某就业信息网


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (5)

  1. 作者渗透思路流畅,值得参考。
    admin7年前 (2013-09-09)回复
  2. 渗透时不仅要关心web漏洞,使用nessus扫主机漏洞并配合Metasploit使用会达到事半功倍的效果
    admin7年前 (2013-09-09)回复
  3. MSSQL的dbo权限就可以进行差异备份获取shell。判断数据库权限的语句:and 1=(select IS_SRVROLEMEMBER('sysadmin'))和and 1=(select IS_MEMBER('db_owner'))。差异备份获取shell可以直接使用语句或使用作者提到的工具。
    admin7年前 (2013-09-09)回复
  4. 差异备份语句可以参考:http://www.jinglingshu.org/?p=1954
    admin7年前 (2013-09-09)回复
  5. 作者使用的工具“GetWebshell增强版”已经下载,保存在E:\tools\tools\51CTO下载-GetWebShell 陆羽增强版v1.1
    admin7年前 (2013-09-09)回复