有些渗透是一种偶然,但偶然的渗透却有着被渗透到必然。本次渗透源于素材收集,通过本次渗透有了下面的一些收获:
(1)扫描工具不是万能。扫描工具的扫描结果具有参考价值,通过扫描出来的信息,借助经验,可以进行进一步的测试。
(2)hzhost管理系统的渗透方法,通过Asp.net的Webshell查看进程来获取hzhost的物理路径,如果能够访问hzhost的物理路径,则可以下载其管理所用的数据库表site.mdb,在site.mdb数据库中会保存root和sa用户的密码,掌握了MySQL和MSSQL的管理员密码后,可以尝试数据库提权,从而获得管理员权限。在hzhost有access数据库,也有是采用MSSQL数据库。
下面是具体的渗透过程:
1.分析AWS扫描结果
使用的扫描工具为AWS,如图1所示,扫描结束后给出了265个警告信息,虽然出现高危的跨站漏洞较多,但对于普通安全人员来说,利用xss还有一些难度。然后对于扫描结果中的源代码暴露、文件路径、Web编辑器、特殊文件名称等要做详细的分析和实际测试,通过这些漏洞很有可能拿到Webshell权限。
图1 分析AWS扫描结果
2.获取直接文件上传地址
通过查看AWS扫描结果,发现该网站存在直接文件上传地址,在AWS中选中该页面直接进行浏览测试,如图2所示,能够正常访问,且未做安全验证测试。
图2 获取文件上传网页地址
3.直接上传网页木马测试
通过测试发现上传页面能够正常访问,则可以按照以下方法来上传网页木马:
(1)直接上传网页木马,网页木马可以是大马,也可以是小马,也可以是IIS文件命名漏洞的图片文件。
(2)尝试文件编辑器漏洞来直接上传文件
(3)将文件保存到本地修改提交地址和代码来上传文件。
(4)nc抓包提交等方法来上传网页木马。
在本例中利用的是第一种方法,通过IIS命令规则漏洞来上传,成功上传一句话后门文件“2.asp;1.jpg”,如图3所示,上传成功后还提示具体的文件上传地址。
图3上传网页木马
4.创建并操作一句话后门
相比早期,中国菜刀真是一句话后门操作的福音,如图4所示,在地址中输入一句话后门地址“http://www.kuaijielin.com/sywebeditor/2.asp;1.jpg”,密码为“cmd”,单击添加即可将该后门地址添加到中国菜刀管理器中。在中国菜刀中单击刚才添加到一句话后门地址,如果连接没有问题,则可以直接对该网站文件进行操作,如图5所示。
图4 创建一句话后门
图5管理一句话后门
5.上传大马进行管理
在中国菜刀中将网页大马上传到网站中,如图6所示,通过该页面进行文件上传、删除、修改和下载等管理操作。
图6上传网页大马
6.查看网站服务器文件
通过网页木马查看目标网站所在服务器上的文件,如图7所示,获取了该网站所在服务器的管理平台的数据库,将该数据库下载到本地。
图7下载MSSQL数据库
在该文件夹下还存在MySQL数据库,到Data目录下建user.MYD文件下载到本地,该文件保存了MySQL的所有数据库用户名称和密码等信息。MySQL的user.MYD文件中的用户密码可以cmd5网站查询破解。如果破解了root用户密码,对于Windows系统可以尝试UDF提权。
图8下载MySQL数据库的user.MYD文件
7.查询目标网站所在服务器下的所有域名
通过网站地址:“http://www.yougetsignal.com/tools/web-sites-on-web-server/”来查询该IP地址下的所有域名,如图9所示获取了33个网站域名。
图9获取同网站域名
8.分析site.mdb数据库
由于目标网站使用的管理系统为华众管理系统(HZHOST),通过下载该安装文件下的site.mdb,site.mdb有site、sqlseting和vhostseting三个表,其中site表记录的是站点名称、Ftp用户名称、Ftp密码、站点所在目录等信息,如图10所示。在该表中可以直接获取FTP用户名和密码,主机所能支持的语言类型(asp、php和net2)等信息。Sqlseting表保存的是sa和root用户的密码,如图11所示。Vhostseting表保存的是虚拟主机管理信息。
图10获取网站管理信息
图11获取网站sa和root用户密码
9.上传php Webshell
通过site.mdb数据库找出支持php编程语言的虚拟机主机站点,通过ftp直接连接该站点,输入从site表中获取的网站用户和相对应的密码,顺利登录该Ftp服务器,如图12所示,执行“put control.php”将本地存在的control.php网页木马上传到网站。然后通过IE浏览器访问该Webshell地址,如图12所示,上传的Webshell成功运行。
图12通过Ftp上传Webshell
图13测试上传的Webshell
10.Pr提权
将PR提权工具上传到网站服务器上,如图14所示,在CmdPath中输入“C:\RECYCLER\pr.exe”,在Argument中输入“net user temp temp2005 /add”,将temp用户添加到系统中。然后再在Argument中输入“net user localgroup administrators temp /add”,将temp用户添加到管理员组中,如图15所示,PR命令执行成功后会给出一些提示信息。最后执行“net user localgroup administrators”看管理员组的情况,如图16所示,temp用户已经成功添加到系统管理员组中。
图14添加temp用户到系统
图15将temp用户添加到管理员组中
图16 temp用户已经为管理员
11.获取远程终端端口
使用NMAP对该服务器IP进行所有TCP端口扫描,如图17所示,成功获取该服务器的远程终端端口。
图17扫描服务器端口
12.登录远程终端
通过远程终端客户的程序mstsc.exe直接登录该服务器,输入刚才添加到用户名和密码,顺利登录服务器,如图18所示。
图18登录远程终端
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
