|
|
這些天滲透一個(gè)臺(tái)灣的網(wǎng)站��,但是由于目標(biāo)找錯(cuò)了 于是就有了下面的故事�。
0x02收集信息
先大概看了一下域名和環(huán)境 主要有三個(gè) :
www.xxx.org.tw 主站 在一臺(tái)windows2003服務(wù)器上 iis6
epaper.xxx.org.tw 電子報(bào) 也是在一臺(tái)windows2003服務(wù)器上 iis6 和主域名在一個(gè)C上
webmail.xxx.org.tw 郵件系統(tǒng) 在一臺(tái)linux服務(wù)器上 apache 和主站在一個(gè)C上
caucus.xxx.org.tw 看不懂那個(gè)繁體字�。����。
主站是php的 我想先了解一下主站的大致框架 就直接拖WVS里面跑去了 結(jié)果一會(huì)我就上不去了 目測(cè)是被檢測(cè)系統(tǒng)加入黑名單了 汗���。�。我只有一個(gè)vpn 咋辦��。�����。���。
最后發(fā)現(xiàn)那個(gè)繁體字的可以上去 我覺(jué)定嘗試滲透那個(gè)站
那個(gè)站php的程序 但是有些奇怪 用js做的鏈接 有些暈 找不到參數(shù) 嘗試構(gòu)造了幾個(gè) 都不對(duì) 服務(wù)器上只有那一個(gè)站 最后決定C段 先放到工具里找一下C段有哪些服務(wù)器 找到的如下
3.jpg (57.45 KB, 下載次數(shù): 475)
下載附件
灰鴿子
2013-1-4 23:33 上傳
點(diǎn)開(kāi)幾個(gè)網(wǎng)站 有一個(gè)是郵件系統(tǒng) 有一個(gè)是攝像頭監(jiān)控(看了一會(huì) 挺有意思)最后我把目標(biāo)鎖定在了一個(gè)ip上 一個(gè)食品店���。
0x03初次嘗試
我先看了一下網(wǎng)站,應(yīng)該是自己開(kāi)發(fā)的程序�,因?yàn)槲襣oogle了一下沒(méi)有發(fā)現(xiàn)類(lèi)似名稱(chēng)的腳本文件。嘗試mstsc連接3389 但是被拒絕了 于是放到WVS里跑 自己先干點(diǎn)別的�。。 做什么呢�,因?yàn)榉⻊?wù)器版本很舊�����,我想嘗試一下直接溢出攻擊����。于是上vps打開(kāi) msf 網(wǎng)站最后的文章更新時(shí)間是2009年����,應(yīng)該服務(wù)器很久沒(méi)維護(hù)了,先試了試ms08-067 結(jié)果沒(méi)有成功 又search了幾個(gè)溢出的漏洞 都失敗了 看來(lái)直接從msf溢出有點(diǎn)困難 然后看了看WVS的結(jié)果
太好了 有Sql注入 找到了后臺(tái)界面 還找到了注入點(diǎn) six_pro_class_data.asp?cla_id=31
應(yīng)該看了看是數(shù)字型的 就直接在數(shù)字后面加了個(gè)a 然后報(bào)錯(cuò)
2.jpg (37.35 KB, 下載次數(shù): 479)
下載附件
灰鴿子
2013-1-4 23:32 上傳
看了看應(yīng)該是access的數(shù)據(jù)庫(kù) 就放到明小子里跑 結(jié)果沒(méi)跑出東西來(lái) 于是放到Sqlmap里面去 那個(gè)字典大 跑了一會(huì) 竟然顯示是windows 2000的服務(wù)器���! 過(guò)了一會(huì)跑出了表名 admin_login 但是字段跑不出來(lái)了 只跑出來(lái)一個(gè)c_id...蛋疼 這時(shí)候想起一個(gè)朋友發(fā)過(guò)的
嘗試了一下 但是表只有7個(gè) 就是說(shuō) union select 1,2,3,4,5,6,7就結(jié)束了 就沒(méi)有成功 不知道是不是方法不對(duì) 大牛可以幫忙回答一下����。。
最后想了想 因?yàn)橐呀?jīng)跑出來(lái)了一個(gè)表名是c_id 我猜想其他的可能也是c_什么的 于是自己做了個(gè)字典 在sqlmap的字典上全都批量加上c_ 驚喜出現(xiàn)了 跑出來(lái)了c_username c_passwd 的表名 數(shù)據(jù)也就出來(lái)了 用戶(hù)名有四個(gè) 密碼都是1234 進(jìn)后臺(tái)看了一下 非常簡(jiǎn)陋 圖片都是從ftp上傳的貌似 沒(méi)找到其他上傳的地方 蛋疼了 思路一下子斷了
0x04 峰回路轉(zhuǎn)
我記得看過(guò)一句話 滲透這東西就是在絕望的時(shí)候忽然找到一個(gè)突破點(diǎn) 然后把目標(biāo)撕個(gè)粉碎
沒(méi)法上傳 只能想別的思路了 我看管理員密碼都設(shè)置的挺弱智的 我想試著猜一下ftp的密碼 在試到第三個(gè)的時(shí)候 進(jìn)去了�!竟然根目錄是在c盤(pán)下!本來(lái)可以直接替換sethc.exe 但是3389連不上 我覺(jué)定還是先上傳個(gè)asp大馬 結(jié)果上傳上去 發(fā)現(xiàn)訪問(wèn)錯(cuò)誤 貌似是iis版本太低了 上傳了好幾個(gè)都不行 最后干脆上傳一句話 然后菜刀連接 這次成功了���!打開(kāi)菜刀帶的虛擬終端 先ipconfig 看了一下 是在內(nèi)網(wǎng) 然后netstat -an看了一下
1.jpg (55.75 KB, 下載次數(shù): 484)
下載附件
灰鴿子
2013-1-4 23:32 上傳
奇怪的3456端口 我猜想可能是改成3456了 想lcx轉(zhuǎn)發(fā)出來(lái)試試 但是蛋疼的是 lcx -listen 8080 3389 然后服務(wù)器轉(zhuǎn)發(fā) 但是8080端口一直遲遲接收不到數(shù)據(jù)包����。。����。。蛋疼 嘗試pr提權(quán) 但是服務(wù)器太老了 不成功���。����。f4ck工具包里有個(gè)iis5的提權(quán) 結(jié)果傳上去被殺了 暈 思路又?jǐn)嗔?nbsp; 隨便翻打開(kāi)的東西 忽然發(fā)現(xiàn)進(jìn)入ftp的時(shí)候顯示的是serv-u 趕緊找到serv-u的目錄 看了一下配置文件 因?yàn)閒tp可以修改的 所以直接在權(quán)限里加個(gè)E 就能執(zhí)行命令了 ftp上去 輸入 quote site exec ipconfig 竟然顯示error2 我去���! 這咋辦���? google一下 最后發(fā)現(xiàn)一個(gè)小黑闊以前也遇到過(guò) 他的解決方案是自己上傳個(gè)net.exe 我把他本地的復(fù)制到c盤(pán)根目錄下 然后執(zhí)行 成功了! 提權(quán)成功了
但是3389連接不上 想著放個(gè)木馬上去 結(jié)果被殺了 我又不想麻煩人家去做免殺 這咋辦����? 漫無(wú)目的的看打開(kāi)的程序 看了看端口 發(fā)現(xiàn)5631端口是打開(kāi)的! 也就是說(shuō) 這臺(tái)古老的服務(wù)器上安裝了 pcAnywhere��!然后去C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere目錄中了它的 cif文件��,再用放到破解器里得到了用戶(hù)名和密碼
0x05內(nèi)網(wǎng)滲透
提下服務(wù)器就該進(jìn)行內(nèi)網(wǎng)滲透了 菜鳥(niǎo)一個(gè) 用cain嗅探 上傳cain嗅探 但是發(fā)現(xiàn)c段中只有一臺(tái)服務(wù)器��! 這次傻眼了 但是也不像是CDN做的最終。�。。完工���。�。����。
|
|
加載中...
發(fā)表于 2013-1-4 23:45:37
QQ好友和群
收藏
發(fā)表于 2013-1-6 21:01:20
