渗透基础知识 by wilson

文章来自@wilson

 

前言:

去年,比赛。冷夜男神给xx邀请赛搭建的环境的。环境很好，我也是做了这个,才开始慢慢学渗透的…

拿出来分享撒..再膜拜心中男神

 

 

一）实验环境

这个靶场分为外网和内网两个部分，来看看拓扑图：

 

 

目的:最后拿到金银铜的三个key

 

 

二）入侵过程

1.渗透外网web服务器

信息收集

用nmap扫描一下10.3.1.31

 

 

发现开了80和3389

80是一个asp脚本的网站

http://10.3.1.31/Maincn.asp

再连上3389直接看看

 

 

是2003的

所以猜测就是win 2003+iis+asp 的web服务器

简单试一下3389弱口令，发现不可以（有点人说这个这个太白痴了吧 – – 但是就是会有可能有弱口令的。。看你人品了 – -）

还试了一下shift后门，没有被人拿下过。那就从80 开始做吧！

—————————————————————————-

 

 

Web入侵

1. 用御剑扫下目录

 

发现有robots.txt! 可以找到 很多敏感目录

 

 

User-agent: *

Disallow: /Adminin/===》后台

Disallow: /Config/===>不能列

Disallow: /Data/ ===》可以列 这是文件保存地点

Disallow: /Editor/==》不能列

=============================

 

 

2. 发现注入点

http://10.3.1.31/index.asp?sid=7&action=news&pid=8 and 1=1 (正常)

http://10.3.1.31/index.asp?sid=7&action=news&pid=8 and 1=2 (错误)

用Safe3SI来注入的到数据：

user:manager

pwd:d111c7215fc8f51f(md5 )

到cmd5.com去破解一下:ceshi

===========================================

 

 

3. 登入后台（根据robots的提醒）

进入http://10.3.1.31/adminin/Hlogin.asp

到后台了

发现有数据库备份，所以想看看能不能上传图片 然后利用IIS6.0解析漏洞拿到webshell

 

但是发现不能上传图片！

 

 

经过一次又一次搜索，居然发现已经有一个一句话图片了！

 

http://10.3.1.31/Images/Picbig/2013080819282582.jpg

 

激动啊，密码是7dc

接着就开始备份

 

 

看到数据：

 

这样就可以用菜刀连接了：

=======================

 

 

4. 提权！

接下来就是提权了！

先是看看能执行命令

 

对cmd没有访问权限！

果断上传cmd.txt

然后setp一下改变cmd的路径

 

 

Whoami 权限是network service

看看systeminfo 发现了只是打了一个补丁

 

 

上传pr2.exe进行溢出。

 

 

Ok可以

 

 

—————

然后就是抓hash，破解。

很多人 可能就和这里直接加用户 然后登入3389 ;

我之前也是这样，但是发现不好！

1. 你会被人容易被发现
2. 管理员的密码在后门的内网渗透中是很有用的！因为管理员很有可能用了同一个密码！

所以上次抓hash的PwDump7.exe任何执行得到

 

 

破解sysdmz的hash

 

 

 

进入3389看这样就拿到权限了 等它3389进去看看！发现了铜牌的key~

 

 

铜牌key:g3twebshe11&findmoreinfo

到这里就完成了外网渗透！

######################割############################################

 

 

2.内网渗透

1. 到这里 我们还有金银牌没有拿到呢！

看看 它的内网，发现有一个10.7.0.0/24段！

———————

 

 

2. 搭建反向代理

这里有很多工具，我选择了htran

1.htran.exe -install

htran.exe -start

就自动的安装上了sock5.exe代理了！

 

 

这里就默认监听上了8009端口！

接着用sockscap连接

 

 

————————

 

3. 看内网的活跃ip和端口！

由于sock5.exe不支持ICMP包！所以是不能ping通的。。

所以下面 都要注意这样一点！

这里我直接上传了一个简单的扫描器SearchToIp.exe到web服务器

扫一下：

发现了10.7.0.13ftp服务和10.7.0.37mssql服务器

 

—————

4. 渗透ftp服务器

在自己的机子 上使用hscangui.exe 看看有没有匿名登入或者弱口令

注意要禁ping（前面已经说了是为什么。你懂的！）

 

设置一下参数和模块（ftp）开始扫描

发现有匿名用户，但是在自己机子上不能看到内容。

账户：Anonymous

密码：空

就好那个外网web服务器看看看了

 

下载 这两个文件啊

第一个就是银牌的key！

an0nymousc4nlogin

第二个是一个站点备份！很容易想到这个可能是10.7.0.37的mssql服务器的网站备份！

 

————–

 

 

5. 渗透mssql服务器

由13的服务器上得到的线索 看到web.config 应该有1433的连接密码

果然有！

用sqltool连接，在自己的机子（我做了反向代理用处 终于有用了~~）

 

 

Sa权限 没有降权！！太好了

为它开3389！

因为是win2003的这样直接这样

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

同理抓hash 破解

。。。。这就就不说 一样

拿到key：

sa1s5ystem4dmin

这样就ok了全部做完了 – -好累！

6. 清理

要记得把你的东西 全删到 还有日志也是

在实验室还好

黑外面的服务器话就不好了。

我可不想被请去和茶 0-0

 

######################割############################################

 

 

3.总结

这个文章是自己以前写的，现在看看确实比较基础。。比较适合刚刚开始学习渗透的朋友看看。

进入内网的现在我还是喜欢用msf。这个神器是挺好同的

我会继续更新写msf的一些好玩东西~~~