先上图:

clip_image001

本来是不想搞站的,专心学点编程,可是老是有人来找我帮忙什么的。。。搞完这个我想专心学点编程,俗话说不会编程的黑客不算是高富帅。。。所以说,你懂得。

进入正题

1. 主站摸索

2. 旁站摸索

3. 旁服摸索

4.

不开玩笑了。。

嫖叔尝试过主站服务器了,但是没有搞下来,我这人比较懒,当时也没有追随着嫖叔的脚步搞那个db权限的注射点,一来好久没搞注入了,二来对注入也无爱了。后来玩命有一天很激动的告诉我说拿到了旁服上的一个shell,叫我提权试试,我想了想,既然这是个企业站,注册资金据说有8100w,肯定很有钱,服务器肯定也是大大的有,放在内网的话还能内网渗透一下,于是就上了。

顺便说下,玩命搞到的那个shell是通过注射加后台上传拿到的,大家就别再搞了。

上了shell看了下,权限很大,几乎全盘浏览了,支持asp,aspx,php,翻了下看见了xampp,管理员还真懒,mysql估计就是系统权限运行的,而且我猜root密码还是默认为空。于是翻查数据库连接文件,管理员果然没让我失望

clip_image002

于是果断mysql导出udf提权,加了个系统权限的用户,上了rootki.asp(这玩意用系统帐号登录,权限为system,比较方便)

查了下远程桌面端口发现没改,ipconfig发现是双网卡,但都在内网,装了金山杀毒软件和金山管理软件(不记得是不是这个名字了)

上传lcx想转发端口的,可惜被杀了,试了下taskkill,ntsd都不能把杀毒的进程给杀完,最主要的杀毒进程杀不掉,没办法,找小陈做了个免杀,自己又是外网(怨念哪。。当初花150买了个90块钱的tplink路由器,结果发现不能把自己放到dmz去,端口映射也不行,被黑出翔了,如果我是外网的,可以做更多的事的,反弹到我这里,用metasploit进行内网渗透。。。嘿嘿,留口水了)于是上外网服务器操作了,那慢的叫我想死了。。。不过好歹有个桌面环境给我操作,不用一直命令行了。

既然是内网,当然是要内网搞一搞了,但是之前我在服务器上翻了下,发现了装有winwebmail,这玩意一开始查同服的时候就知道了,只不过貌似限制了ip登录,但是我控制了服务端,不怕限制ip登录,以后可以作为一个信息来源,先留着。

Cmd下执行各种命令对内网环境做一个基本的了解。

C:Documents and Settingsfucker>net view /domain 查看有几个组

Domain————————————————————-

MYGROUP

WORKGROUP

命令成功完成。

C:Documents and Settingsfucker桌面Pwdump7>netview(查询有关系的机器)

服务器名称 注释

————————————————————————

EFGP

IBM

IIBM

JR141               jr141

JR142

JURANZHIJIALEWU

JURZJCTI-9897F9

LEWU

OASERVER

POS27               pos27

POS28

POS29               pos29

POS30               pos30

USER-87C8B53A9C

命令成功完成。

C:Documents and Settingsfucker>net view/domain:workgroup(查看workgroup组下的机器)

服务器名称 注释

——————————————————————

EFGP

IBM

JR141               jr141

JR142

JURANZHIJIALEWU

JURZJCTI-9897F9

LEWU

OASERVER

POS27               pos27

POS28

POS29               pos29

POS30               pos30

命令成功完成。

C:Documents and Settingsfucker>net view/domain:mygroup(查询mygroup组下的机器)

服务器名称 注释

————————————————————————-

AP-3850-3           Samba Server Version 3.0.33-0.17.el4

GP53                Samba Server Version 3.0.33-3.28.el5

命令成功完成。-

其实这些东西查询出来

我也不懂有什么用。。。反正就是看别的内网渗透资料上的,就照做了。。。。

用wce和pwdump把本机的hash给导出来了(虽说wce可以读取内存中的明文密码,但是在导出hash的时候却没有pwdump给力,不知道为什么),拿去破解,做成了一个字典文件,挂到hscan上对内网的机器做一个大致的扫描,弱口令什么的在内网里是很常见的,而且因为是在内网,所以扫描到的端口比外网也会准确的多。

一阵扫描下来,收获颇丰

clip_image003

这只是一部分,还有一些没有显示出来。

有三台服务器的mssql的sa密码为123,果断拿下

clip_image004

clip_image005

clip_image006

发现上面装了飞秋,一个内网通讯工具,发现这个内网很大(实际上确实很大,后来在内网嗅探的时候得到了证实)以后可以作为一个社工的桥梁,冒充别人,获取更多的信息。

抓取hash,拿去破解,于是被我发现规律了。。

28的那台机器administrator密码为1.2

29的那台机器administrator密码为1.3

30的那台机器administrator密码为1.3

于是我在28之前和30之后对开启了远程桌面的机器进行了尝试,果断用1.1的密码进入了27的机器,但是其他的就没有成功。

在这些机器上全部种上winlogon木马,用以记录管理员的登录密码,万一能够记录到域管理的密码那就爽了。。。

3的那台机器同样是sa弱口令123,抓取hash破解为0o9i8u7y(看上去很复杂,实际上很简单,看下你的键盘就知道了),种上winlogon木马。

继续看hscan的扫描报告

clip_image007

果断猜想192.168.0.21的adminsitrator密码为easyhome,连上去登录了

(这么敏感的东西都被我看到了,罪过罪过,安全有多重要啊)

clip_image008

看到有几台机器的扫描报告几乎相同,怀疑是否是一台机器,一台机器分配了多个ip?

clip_image009

admin的帐号估计权限很大,sybase是oracle的最高权限的帐号,悲剧了,又是弱口令惹的祸,据说oracle可以执行命令,但是没有尝试,看上去貌似很麻烦,这网速龟一样,点个右键要两秒钟才能出来。telnet上去结果登录帐号但是回显的并不是能够执行命令的,这让我比较奇怪,后来嗅探的时候搞清楚了,这几台机器貌似是处理订单之类的。登录之后让我选择什么的,但是选择了编号回车之后就提示失去连接,后来用嗅探到的帐号登录发现也是同样的问题,暂时不知道原因。

clip_image010

clip_image011

不能执行命令自然就不能溢出提权了,看到hscan扫到了80端口,访问发现是apache的默认页面(redhat貌似是默认安装的?),我的思路是通过ftp上传一个php木马,反弹一个shell到我这里来执行命令

Ftp连接上机器,找到网站目录之后发现没有上传的权限,但是在子目录里又有上传的权限,上传了php的webshell,但是访问发现是一片空白,不知道是什么原因,于是这个思路又断了。

到网上找了下ssh的相关版本有没有远程溢出的漏洞,无果,暂时放弃好了。

用到现在为止收集到的信息(管理员的帐号密码,翻各种文件找到的一些敏感信息),整理了下,再次弄了个字典,挂上hscan扫

有所斩获,192.168.0.7的机器的ftp帐号密码为adminsitrator,0o9i8u7y,果断连接远程桌面,发现是windows2000,不常见哟。

clip_image012

到这里陷入了僵局,再一次意淫了下自己是外网的情景,metaploit溢出于谈笑之间,在各台服务器上systeminfo了一下,发现没有打ms08-067的补丁,想到用08-067来远程溢出,但是发现网上所用的08-067抓鸡工具都是需要配置木马,让其下载运行再上线的,本机开放了80端口,但是内网其他机器下载的话需要经过http验证,没去查什么原因,懒。。。

再次用hscan扫描的到的弱口令一个一个试,发现还有aix系统的服务器,我自然是没有经验搞的了,但是收获还是有的,找到另外两台redhat服务器,登录之后能够执行命令,那就好办了,尝试udev通杀提权都不成功,然后一台内核版本2.6.18-194的用一句话给提权了,种上rootkit走人(本来想种个键盘记录的,但是想想还是算了,我得从网上下载下来,然后ftp传给linux,再进行安装,两台linux的dns配置都有问题,尝试ping www.91ri.org,无法访问外部网络,wget自然是没用的了,只能通过这个方法了,期间还得忍受鼠标1-2秒的延迟,欲乘风去撞墙~)还有一台用了各种exp,最后http://keio2.cccpan.com/在这里找到的exp给成功溢出了,同样种上rootkit

clip_image013

(这台是一句话提的权)

种rootkit的我没有截图下来,命令敲上来好了,rootkit下载地址:

http://forum.eviloctal.com/attachment.php?aid=13419#tc_qz_original=47347

传到tmp目录下,

tar zxvf mafix.tar.gz 解压缩。进入目录,赋予root文件执行权限

安装rootkit:./root 连接密码 端口 回车

如果成功回显如下:

clip_image014

下次之间用putty连接相应端口输入密码就可以了,root权限。

安装成功后目录会自行删除,最后history -c 清除命令记录。

又有两台服务器到手了,自然是下载/etc/shadow文件到本地尝试破解,很荣幸的,破解失败。

期间仍然在各台服务器的硬盘上各种翻,找敏感数据。

看到有三台思科路由器

clip_image015

弱口令登录失败,尝试暴力破解同样失败,telnet上去,回显:

Lishijie welcomes you! Are you allowed by administrator?If not, you are not allowed to enter!(大概就这么一段话)

得知了管理员叫做lishijie,百度了下“lishijie 居然” 也没发现什么,发现社工网站打不开了,在自己下载的csdn库中找lishijie找到多个帐号(为什么要到csdn找,你懂的)。。。不愿一个个去试了,本机把winwebmail中lishijie的那个文件夹中文件查看了下,发现些相关信息

clip_image016

再到csdn中找了下,终于找到了

clip_image017

尝试登录失败,很累,感觉不会爱了

不愿去社工了,省的没射到别人自己惹了一身骚。

直接apr嗅探好了

扫描同网关下的机器的时候发现还有打印机

clip_image018

可以考虑下微软的打印机远程溢出,惠普的应该存在远程溢出的,可惜我没找到。

嗅探了两天也没什么成果,telnet那边很多记录,都是前面我说的登录就要选择的那种,不能执行命令的。可惜没有root密码

clip_image019

类似的,我猜可能是订单管理之类的服务器,但是数据交换大都在10.XX.XX.XX和192.168.0.XX之间的,联想到之前的飞秋,我猜到了10.XX.XX.XX大概都是员工的个人pc,

不愿搞了,很累,感觉再也不会爱了。

干脆把居然之家主站的首页给换了吧,我首先想到的当然是netfuke劫持,但是没有找到主站服务器的内网ip啊。之前我嗅探的都是192.168.0.XX这个段的,于是嗅探了一段时间的192.168.1.XX,然后就被我发现了192.168.1.5这台机器和192.168.1.1网关之间有数据,domain显示www.juran.com.cn,毫无疑问,这就是居然之家的主站了。

剩下的你大概也知道了,下载了netfuke,配置好,点开始,然后就把居然的首页给换了。

总结一下吧:运气很好,耐心不够,技术不足,我还是怨念我的内网环境。。。metasploit只能在本地测试,蛋疼死了,求推荐能放把机器在dmz区的路由~~

顺便说一句:年底我要想好好编程,日站什么的,还是别找我帮忙了吧,在此谢过各位大黑阔~

文章作者:A11riseforme [F4ck Team] 注:本文为法客论坛周年庆文章 转载请注明原文版权及本文链接!

源链接

Hacking more

...