• 洞洞那么大-悲伤那么小


    本文作者:i春秋作家——whoamiecho

    前言

    好久没认真的写过渗透过程了,这次来个长篇一点的,我尽量语言生动点,过程还蛮有意思的,大家看着玩吧。文章已做脱密处理,关键URL用******代替,截图已做专业打码。旨在技术交流。

    事情的起因还不得不提到躺在硬盘中好几个月的沉甸甸的包裹着Active Server Pages的归档私有专利压缩数据流。我语文不好,百度翻译了好久才明白原来特么其实就是个asp代码的压缩包。

     

    第一章、洞洞在这里

    洞洞很大,不是因为危害大,而是因为真的很大。1GB的文件备份泄露。下载地址为:http://www.*******.com.cn/*******.rar。

    1.jpg

    下载后简单查看:网站源码包含三精主站和bbs。管理后台总共三个,地址分别是:

    bbs后台:http://www.*******.com.cn/bbs/admi***j/

    主站管理后台:

    http://www.*******.com.cn/wlts/login.asp

    http://www.*******.com.cn/*******_2008_system_admin/

    2.jpg

    3.jpg

    源码中包含了所有数据库以及数据库备份。access数据库和mssql数据库。

    4.jpg

    以前很少搞bbs,这里特地选取了bbs作为长征起点,先找到洞口钥匙:

    5.jpg

    不会开锁的黑阔不是好的砖家。

    6.jpg

    成功登陆后台:先在后台收集些信息: 2.8万用户;发现邮箱密码:居然是123456,窃喜。

    7.jpg

    第二章、我要进咯,怕不怕

    发现后台可以修改上传允许类型:于是加上asp。

    8.png

    发现被禁止添加了。

    9.png

    绕过方法有很多,比如添加cer后缀,aasp等等。cer可以成功,未尝试其他的。

    10.png

    悲剧的事情来了,在后台找了半天也没找到上传点,第一次见bbs后台没有上传点。气死我了。没办法,想了想,前台肯定可以上传。如果配置项是全局的的话,那我在前台也可以上传cer文件。网站不允许注册了,于是破解了个用户的密码,登陆后来到留言板栏目,发现在允许栏目里面多了个cer,看来是可行的。

    11.png

    第三章、洞口虽大,可不要乱入哦

    上传.cer的一句话木马成功。地址在html也找到了。我仿佛看到了美好的未来。

    12.png

    http://www.*******.com.cn//bbs/upload/2016-11/28/2016/11/282330122325.cer

    兴高采烈的去访问却发现,悲剧的事情在此发生了,我怎么找都找不到cer文件。各种路径都尝试了。还是访问404.

    13.png

    于是做了三种猜想:

    • cer不被允许访问
    • 路径错误了
    • 文件上传失败了

    证明猜想:

    1:修改上传允许类型,为asa,aasspp等,发现同样上传后找不到文件———》排除不被解析的可能。

    2:路径在下载的备份中找到正确的姿势,发现也不能访问到。————》应该不是路径错误。

    第四章、大王叫我来巡山,抓个和尚当晚餐

    上传的路子堵死了,那么通过备份数据库拿shell也不行了。突然想到,网站可以配置全局的变量,比如刚刚的允许上传类型,那么肯定是包含了本地的asp文件。那么我可以直接写asp代码进去啊。最开始想的是改刚刚那个上传类型的代码。在源码中找了很久找到了配置文件,后来看到,在论坛防护墙这里有个栏目,直接加一句话代码就行了:

    14.jpg

    找到这个文件还要归功于本地的写了代码,不然也不能顺利的找到文件位置和文件名。getshell成功

    15.png

    在D盘发现了sa用户密码。

    16.jpg

    看下权限:iis

    17.png

    第五章、起来不愿做奴滴人们

    服务器上运行着mssql,所以提权思路有两种:

    1:本地脚本链接数据库,通过sa用户本地提权。

    通过菜刀脚本去链接本地的mssql数据库却连不上,这不科学啊,难道数据库没用?

    于是在网站代码里面各种翻看,找到了很多配置文件,得到的数据库也是五花八门。都不能登陆。难道是数据库不在本服务器?感觉疑问很多啊。

    既然连不上,那就只有走另一条路子了。

    2:windows自身提权

    尝试执行systeminfo发现总是超时,看来是得不到补丁信息了,一个一个试吧。

    巴西烤肉,pr等最常用的先试试,看看管理员有木有补丁,发现很多都失败了,尝试了最新的也不行。

    本想默默离开的,结果最后一发打响了武装反抗的第一枪,发现ms15-051可以提权: 

    18.jpg

    3389对外开放,添加用户后登陆,

    19.jpg

    第六章、湿者,传道,兽业,截货

    1:上传cer失败:在网站目录下搜素cer,发现没有找到,说明上传失败了

    20.png

    2:mssql数据库连接失败:居然在 在管理员的桌面上发现了新的数据库密码。

    21.jpg

    我擦,原来这才是我寻找的那个她。我就说怎么连接不上去,原来是密码变了,用最新的密码连接进去了。

    22.jpg

    第七章、亲爱的你慢慢飞

    我有一只小毛驴我从来都不停,拿着上面后台的邮箱密码访问mail,但是发现123456并不能登陆。看来是乱写的。既然到了这里,还是尝试下手里面有的密码吧。于是把bbs的管理密码输入,居然登陆了,人品爆发啊。邮件还是不少:

    23.jpg

    邮件登陆后关联了crm平台:

    24.png

    还有微博:

    25.jpg

     

    第八章、来个

    由于网站说在服务器没有内网。不能漫游了。

    这次入侵主要是

    1:利用了手里面的源码,得到用户管理密码进入后台,:

    2:在getsehll的时候也用到了查看源码所在文件,才能快速getshell。

    3:提权想要放弃,结果多坚持了一下

    4:扩大战果利用了管理员的惰性,设置相同的密码

    最后,由于当日web访问日志被某个系统进程占用着的,不能修改,为了处理日志,等到了第二天早上八点。

    26.png

  • 相关阅读:
    求最短路径的三种算法: Ford, Dijkstra和Floyd
    Huffman树与编码
    Logistic回归模型和Python实现
    LibSVM for Python 使用
    支持向量机原理
    朴素贝叶斯分类器及Python实现
    Http协议简介
    介绍50个 WordPress 动作挂钩
    决定如何开发你的WordPress主题框架
    WordPress 主题框架是如何工作的
  • 原文地址:https://www.cnblogs.com/ichunqiu/p/7891608.html
Copyright © 2020-2023  润新知