最近比较忙,渗透经验少,手里一时也没有什么有含量的文章。下面是近期的一次渗透经历,先发在这,管理能给过不。

群里发了个一句话,http://www.xxx.cn/UploadFiles/201342155011266.asa

让爆破一下。

clip_image001

看来是个图片插马,通过台上传的。

爆破一句话,BurpSuite搞定

clip_image003

密码居然是‘x’。。。

下午有课,晚上接着搞,既然有了shell,试试提权什么的。

上传大马,发现上传不了,基本上目录都不可写了,UploadFiles目录也是,看来可能管理员加固了(后来提权之后发现果然该用户对该目录权限只有读取了)。命令也执行不了。

到C:\Program Files\MySQL下载User表user.MYD,打开得到root的HASH

localhost

root*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9

cmd5查了下123456,但是通过菜刀连接失败,好像3306端口没开(后来发现其实开了,估计被墙了)

是星外站,还有很多站点。一个个找找。找到个aspx站点,查看web.config,居然是sa,密码也是sa,通过菜刀连接,成功,可以执行命令。

EXEC master..xp_cmdshell 'net userxxxxxx xxxxxx123123 /add'

EXEC master..xp_cmdshell 'net localgroupadministrators xxxxxx /add'

3389登录成功。有360安全卫士和Symantec,添加用户居然没有拦截,人品好的原因?

既然是星外的站,读取下freehost密码吧,用它登录更保险一些。拿出星外杀器,读到密码。

C:\Documents and Settings\lnwjcomcn\桌面>exehack.exe-i

FreeHost ID:724

C:\Documents and Settings\lnwjcomcn\桌面>exehack.exe-u 724

UserName:freehostrunat

Password:c8a810ab197a1321ee4b37fcaa3ccd29!7

clip_image004

OK,直接3389登录就可以了。

既然提权了,没理由不看看内网。看下ip,的确是内网环境。

clip_image006

看看网络连接

clip_image008

有个内网的192.168.2.25和它连接。

一般来说,内网其实是很薄弱的,处于内网环境中,管理员通常会降低安全意识。比如相对外网,内网一般不用考虑防火墙,最多拿下DMZ后架设个代理做跳板。之后就是内网渗透那一套,ipc$、HASH注入之类。

另外,密码也是一个较弱的环节。即使密码很复杂,但是管理员为方便记忆和管理,一般内网环境的密码是有规律的。

首先先wce抓下密码吧。由于是虚拟主机,用户比较多。经过分辨,管理员除了一个freehost外,还有个webmasters36,密码是挺复杂的,呵呵。

UserName: webmasters36

LogonDomain: CAYS

password: cays*serverPassX036wl

好了,再联系一下本机内网IP,192.168.2.34,可以推测一下密码了,应该是和IP相关联的。

内网必备PsExec,朝着192.168.2.25啪啪啪打过去

额,居然不对。

clip_image010

好吧换成25试试,啪啪啪,成功返回一个shell。

看下25的3389已经开了,直接登录。

clip_image012

再看一下网络连接:

clip_image014

嗯,这几台同样PsExec打过去,3389连接,全部沦陷。

clip_image016

另外发现一个奇怪现象,这边出口IP 218.X.X.X(联通),进入内网,到192.168.2.12,再出去,IP居然变成了59.X.X.X(电信),居然还有这样的环境,谁给科普下。

内网有个车模站点,好多漂亮妹子….

clip_image018

clip_image019

↑↑  亮点在此

源链接

Hacking more

...