最新消息:

渗透基础知识 by wilson

别人经典渗透过程学习 admin 1868浏览 0评论
2014-07-31 红客联盟

文章来自@wilson

 

前言:

去年,比赛。冷夜男神给xx邀请赛搭建的环境的。环境很好,我也是做了这个,才开始慢慢学渗透的…

拿出来分享撒..再膜拜心中男神

 

 

一)实验环境

这个靶场分为外网和内网两个部分,来看看拓扑图:

 

 

目的:最后拿到金银铜的三个key

 

 

二)入侵过程

1.渗透外网web服务器

信息收集

用nmap扫描一下10.3.1.31

 

 

发现开了80和3389

80是一个asp脚本的网站

http://10.3.1.31/Maincn.asp

再连上3389直接看看

 

 

是2003的

所以猜测就是win 2003+iis+asp 的web服务器

简单试一下3389弱口令,发现不可以(有点人说这个这个太白痴了吧 – – 但是就是会有可能有弱口令的。。看你人品了 – -)

还试了一下shift后门,没有被人拿下过。那就从80 开始做吧!

—————————————————————————-

 

 

Web入侵

  1. 用御剑扫下目录

 

发现有robots.txt! 可以找到 很多敏感目录

 

 

User-agent: *

Disallow: /Adminin/===》后台

Disallow: /Config/===>不能列

Disallow: /Data/ ===》可以列 这是文件保存地点

Disallow: /Editor/==》不能列

=============================

 

 

  1. 发现注入点

http://10.3.1.31/index.asp?sid=7&action=news&pid=8 and 1=1 (正常)

http://10.3.1.31/index.asp?sid=7&action=news&pid=8 and 1=2 (错误)

用Safe3SI来注入的到数据:

user:manager

pwd:d111c7215fc8f51f(md5 )

到cmd5.com去破解一下:ceshi

===========================================

 

 

  1. 登入后台(根据robots的提醒)

进入http://10.3.1.31/adminin/Hlogin.asp

到后台了

发现有数据库备份,所以想看看能不能上传图片 然后利用IIS6.0解析漏洞拿到webshell

 

但是发现不能上传图片!

 

 

经过一次又一次搜索,居然发现已经有一个一句话图片了!

 

http://10.3.1.31/Images/Picbig/2013080819282582.jpg

 

激动啊,密码是7dc

接着就开始备份

 

 

看到数据:

 

这样就可以用菜刀连接了:

=======================

 

 

  1. 提权!

接下来就是提权了!

先是看看能执行命令

 

对cmd没有访问权限!

果断上传cmd.txt

然后setp一下改变cmd的路径

 

 

Whoami 权限是network service

看看systeminfo 发现了只是打了一个补丁

 

 

上传pr2.exe进行溢出。

 

 

Ok可以

 

 

—————

然后就是抓hash,破解。

很多人 可能就和这里直接加用户 然后登入3389 ;

我之前也是这样,但是发现不好!

  1. 你会被人容易被发现
  2. 管理员的密码在后门的内网渗透中是很有用的!因为管理员很有可能用了同一个密码!

所以上次抓hash的PwDump7.exe任何执行得到

 

 

破解sysdmz的hash

 

 

 

进入3389看这样就拿到权限了 等它3389进去看看!发现了铜牌的key~

 

 

铜牌key:g3twebshe11&findmoreinfo

到这里就完成了外网渗透!

######################割############################################

 

 

2.内网渗透

  1. 到这里 我们还有金银牌没有拿到呢!

看看 它的内网,发现有一个10.7.0.0/24段!

———————

 

 

  1. 搭建反向代理

这里有很多工具,我选择了htran

1.htran.exe -install

htran.exe -start

就自动的安装上了sock5.exe代理了!

 

 

这里就默认监听上了8009端口!

接着用sockscap连接

 

 

————————

 

  1. 看内网的活跃ip和端口!

由于sock5.exe不支持ICMP包!所以是不能ping通的。。

所以下面 都要注意这样一点!

这里我直接上传了一个简单的扫描器SearchToIp.exe到web服务器

扫一下:

发现了10.7.0.13ftp服务和10.7.0.37mssql服务器

 

—————

  1. 渗透ftp服务器

在自己的机子 上使用hscangui.exe 看看有没有匿名登入或者弱口令

注意要禁ping(前面已经说了是为什么。你懂的!)

 

设置一下参数和模块(ftp)开始扫描

发现有匿名用户,但是在自己机子上不能看到内容。

账户:Anonymous

密码:空

就好那个外网web服务器看看看了

 

下载 这两个文件啊

第一个就是银牌的key!

an0nymousc4nlogin

第二个是一个站点备份!很容易想到这个可能是10.7.0.37的mssql服务器的网站备份!

 

————–

 

 

  1. 渗透mssql服务器

由13的服务器上得到的线索 看到web.config 应该有1433的连接密码

果然有!

用sqltool连接,在自己的机子(我做了反向代理用处 终于有用了~~)

 

 

Sa权限 没有降权!!太好了

为它开3389!

因为是win2003的这样直接这样

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

同理抓hash 破解

。。。。这就就不说 一样

拿到key:

sa1s5ystem4dmin

这样就ok了全部做完了 – -好累!

  1. 清理

要记得把你的东西 全删到 还有日志也是

在实验室还好

黑外面的服务器话就不好了。

我可不想被请去和茶 0-0

 

######################割############################################

 

 

3.总结

这个文章是自己以前写的,现在看看确实比较基础。。比较适合刚刚开始学习渗透的朋友看看。

进入内网的现在我还是喜欢用msf。这个神器是挺好同的

我会继续更新写msf的一些好玩东西~~~

转载请注明:jinglingshu的博客 » 渗透基础知识 by wilson


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址