菜菜面临就业,有一天看到一个发布就业信息的网站,就萌生了脱它裤子的想法,说干就干,没想到引出一段曲折的过程。
1.主站突破
第一步先扫下端口,发现开放端口80和3389,登录3389发现是win2003。
查无注入点,而且发现网站自定义了错误页面
FCKeditor2.6.6无法上传文件
eWebeditor2.8无法突破上传
后台弱口令爆破、管理员社工字典爆破均告失败,nessus和WVS的扫描结果也没有收获。
发现一个反射型XSS,对XSS的了解只限于偷COOKIE,又发现cookie里没有用户名密码,不晓得怎么利用
2. C段突破
扫了C段,发现一台机器,网站已经移到新地址去了,就没人管,可能比较好突破。
先用nessus扫了一下,有一个最严重漏洞ms09-050
直接上metasploit,不熟悉msf的机油可以看看《metasploit渗透测试指南》
第一次并没有返回cmdshell,反而把服务器打挂了我那个去- -。
过了一会儿,服务器自己重启了,于是乎,我又打了一次
好,成功了,这里提醒大家exploit的时候如果没成功,不妨多试几次,没准有惊喜。添加账户,准备进去了,结果发现,这次依然把服务器打挂了- -。服务器又瞬间自动重启,登进去之后发现和目标站不是一个子网,能得到的信息和本机一样,此路不通。
3. C段再突破
另外找了一台跟目标站IP相近的,发现了注入
判断是不是SA权限
看来不是,看看是不是dbo权限
还好是dbo,直接差异备份一句话
Webshell到手
结果发现不能执行命令,赶紧上传一个自己的cmd
只有少得可怜的几个命令可以用,systeminfo也用不了,上个pr.exe试试
直接右键pr.exe选虚拟终端发现可以执行,看来是传参数的问题,上个无参数的pr
结果还是不行
当我在cmd里给命令加上双引号的时候
发现能够获取SYSTEM的token,但是命令没执行成功。怀疑是密码复杂度的问题,修改源代码试试,同时也指定了cmd.exe的路径
把有用到argv传参的都改成直接赋值,重新编译,成功!
总结一下,个人感觉就是这个双引号的问题,传参上面做了限制可能,有大牛知道的麻烦给小菜说一下。
4.内网嗅探
终于进来了,很好,看到目标站了,是台虚拟机
很给力,一进来就嗅探到mssql的密码,因为很晚了,就先放着,睡觉鸟。
第二天起床一看,目标站竟然挂了,数据库服务器在另一台上面,登上去看看。
我去,竟然没有权限,不能索引列出表名。
到了下午,目标站终于重新开机,然后发现嗅探到了web管理员密码
登进目标站后台,发现功能很简单,没有能获得webshell的地方,- -。
回到数据库这边,用wireshark抓一下1433端口的数据包,然后在目标站上随意登录一个账号,查看抓到的包,得到表名,裤子到手。
全程结束!谢谢观看
附录:本文使用的工具
搜索引擎:作用不解释
Nmap扫描器:扫描目标主机端口,获取开放服务信息
nessus扫描器:一款全面的扫描器,配合metasploit远程溢出获取了目标站C段一台机器的SYSTEM权限,后来发现不在一个子网。
WVS扫描器:一款十分强大的WEB漏洞扫描器
Metasploit:强大的漏洞利用工具
Burp suit:集多种功能于一身,本文中仅用来截包改包、爆破密码
Wireshark:抓包工具
Cain: 神器,集嗅探、破解多种功能于一身
御剑1.5:旁注利器
IIS write写权限利用工具:虽然这个机会很小,还是试试
中国菜刀:神器不解释
pr:提权工具
GetWebshell增强版:mssql差异备份一句话
小编注:作者你倒是把pr源码发出来啊….
转载请注明:jinglingshu的博客 » 迂回渗透某就业信息网
