实战攻防
记一次偶然发生的渗透测试
2019-09-25 11:40

0x00 信息搜集

话还要从最近网上转载的一篇文章说起—据说某家校通系统存在后台万能密码登录—于是点进去看了一下,然后从文章的某些特征猜到了这个家校通系统,之后就某度一波,然后就发现一堆网站,随便挑了一个,进行测试。

1.png

找到测试目标,找到后台入口,然后开始搞事情


2.jpg

使用文章的弱口令成功进入和后台。找注入啥的不是我的志向,虽然文章说有很多注入点,但是我还是比较喜欢上传点,然后浏览网站发现了一处编辑器有个上传点

3.jpg

嗯,前期本来还打算扫描一波的,看看有没有什么其他的服务打开,但是这个任意文件上传让我非常激动,直接跳过了扫描。在信息搜集这一块其实做的不多,主要还是靠的那篇文章,加上自己的火焰金睛在万码从中找到了有效信息成功猜测了cms信息。

实验:利用Kali工具进行信息收集


0x01 getshell

二话不说,传一个冰蝎马,任意文件上传(嗯!!!这种系统居然还这么多人)

4.jpg

直接访问是会爆500的错误,但是这并不影响冰蝎的连接:

5.jpg

6.png

拿到shell之后肯定先收集一波服务器信息:

目录浏览:

6.png

用自带的shell看一下权限有多大:

8.png

9.png

Server2008的系统,只发现两个补丁信息,先记下来,说不定有用。

再搜集一波系统任务信息,看有没有什么防护之类的:

0.png

截图不是全部任务,不过暂时没有发现全家桶之类的防护软件,好运气。

Getshell其实没有花费太多的力气,任意文件上传加上冰蝎这种加密木马,getshell并且不被waf已经就很简单了,当然还有其他的getshell方法,例如什么数据库备份getshell,当文件上传不好使的时候就要考虑其他的方式了。至于getshell之后的信息搜集感觉自己还是有些欠缺,有些需要收集的信息如:任务列表之类的一开始就没想到,还是之后看到了一些文章才了解的,所以还要加强信息搜集能力。


0x02 提权阶段:

接下来就是要提权了,怎么提权呢?这个cms系统全部都是用的MSSQL数据库,而且基本都是使用了SA用户,且MSSQL会默认运行在system权限上,那么就可以通过xp_cmdshell组件执行系统命令,执行权限便会继承system权限。

接下来就是就是msf启动的时间了:使用auxiliary/admin/mssql/mssql_exec模块进行攻击:

11.jpg

嗯,看来还需要收集很多信息,数据库的账号密码以及端口,这时候就想起来我的webshell还没怎么利用,返回去查找一波信息

Web站点基本都会有一个配置文件,而且很多都是用.conf,.config这样的做扩展名,所以以后渗透的时候可以关注一波网站配置文件。当然这个系统也不例外,找一波配置文件:

12.jpg

一口老血,冰蝎居然打不开中文文件夹…… 没办法,切命令行总行吧,成功查看webconfig文件(aspx的配置文件一般都是会放到根目录下的)
13.png

然后找到关于数据库的配置:

14.png

OK,账号密码到手。拿到账号密码,先用冰蝎连接一波,这里有个坑--管理员已经换了数据库的端口,所以1433是连不上的,是二次查看webconfig才发现的,大意了。

15.jpg

数据库连接成功,那攻击开始。往之前的攻击模块填充信息:

16.jpg

然后修改一下CMD命令,执行一波net user操作,看能不能攻击成功:

17.jpg

OK成功,那接下来查看一下命令是用什么权限执行的:

18.jpg

OK,权限足够高,可以开始搞事情了。首先尝试启用Guest用户,然后发现又踩坑了:Guest用户本身就是启用的,然后执行的所有命令全部失败了。。。。

19.jpg

不过还好命令失败了,查看了一下Guest用户信息,才登录过不久,要是搞了,估计就出问题了:

20.png

没办法,尝试自己添加用户,这里也有个坑--管理员对用户的密码复杂度是做了限制的,一直使用弱口令,命令一直无法执行,流下菜鸡的眼泪。

21.jpg

之后换了一个强密码,添加用户成功:

22.jpg

查看一下用户信息:

23.jpg

接下来也不加到管理员组了,怕被请去喝茶,直接尝试一下3389登录。Netstat 查看一波端口:

24.jpg

截图不完全,不过可以肯定3389是没开的。【哭泣.jpg】

冷静思考下,3389端口没开,严重怀疑是换了端口,要是之前扫了一波估计就发现了,不过现在我都能netstat了,直接一个一个试一下就完事了,然后果然如此,看来这个管理员还是有安全意识的,对于一些常用端口知道替换,不过就是用的这个cms不太好【笑哭】。

25.jpg

使用我创建的账户登录:

26.jpg

因为有些提权的命令没有执行,所有没有远程登录权限,不过基本上算是提权完成了。

实验:MSSQL注入提权(掌握通过SQL Server的存储过程xp_cmdshell来提权的过程和原理)


0x03 后渗透阶段:

只是简单地测试一下,没打算搞事情,所有把用户,shell啥的都删了。再清理一波痕迹,溜溜球。

27.jpg

Shell还挺多,估计被人搞过了,顺手给清理了:

28.png

29.png

实验:Metasploit后渗透入门(学习拿到meterpreter后的渗透学习。这一阶段也被称为后渗透阶段。)

 

0x04 来个总结:

对于这次的渗透,首当其冲的便是信息搜集了,在原文严重大码的情况下,还是发现了cms的名字版本,之后通过搜索找到合适的攻击目标。不过在系统信息搜集这一块做的不好,前期连端口信息都没有进行搜集就开始攻击了,导致后来走了弯路,所有前期的信息搜集下次一定要重视了。

还有一点收获就是熟练了一波MSSQL的提权方法,利用xp_cmdshell组件直接system权限提权还是很刺激的。当然不足的地方就是对于提权的知识掌握的还是太少了,一遇到防护强一点的系统就捉襟见肘了,本来还尝试了一下dump保存hash值解密进行提权,但是失败了【菜.jpg】,所以还是要不断去学习新的骚操作啊。

最后给自己提个醒,以前一直忽视了弱口令,暴力猜解这类的攻击方式,但是目前看来完全错了,这些漏洞的利用价值其实很高,某些时候还会有意想不到的效果,长个记性,以后注意!!!

声明:作者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关。

 

上一篇:贫穷引发的渗透测试
下一篇:记一次授权的APK渗透测试
版权所有 合天智汇信息技术有限公司 2013-2021 湘ICP备14001562号-6
Copyright © 2013-2020 Heetian Corporation, All rights reserved
4006-123-731