来源:自学PHP网 时间:2015-04-17 12:00 作者: 阅读:次
[导读] 先上图:本来是不想搞站的,专心学点编程,可是老是有人来找我帮忙什么的。。。搞完这个我想专心学点编程,俗话说不会编程的黑客不算是高富帅。。。所以说,你懂得。进入正题...
先上图: 本来是不想搞站的,专心学点编程,可是老是有人来找我帮忙什么的。。。搞完这个我想专心学点编程,俗话说不会编程的黑客不算是高富帅。。。所以说,你懂得。 进入正题
不开玩笑了。。 嫖叔尝试过主站服务器了,但是没有搞下来,我这人比较懒,当时也没有追随着嫖叔的脚步搞那个db权限的注射点,一来好久没搞注入了,二来对注入也无爱了。后来玩命有一天很激动的告诉我说拿到了旁服上的一个shell,叫我提权试试,我想了想,既然这是个企业站,注册资金据说有8100w,肯定很有钱,服务器肯定也是大大的有,放在内网的话还能内网渗透一下,于是就上了。 顺便说下,玩命搞到的那个shell是通过注射加后台上传拿到的,大家就别再搞了。 上了shell看了下,权限很大,几乎全盘浏览了,支持asp,aspx,php,翻了下看见了xampp,管理员还真懒,mysql估计就是系统权限运行的,而且我猜root密码还是默认为空。于是翻查数据库连接文件,管理员果然没让我失望 于是果断mysql导出udf提权,加了个系统权限的用户,上了rootki.asp(这玩意用系统帐号登录,权限为system,比较方便) 查了下远程桌面端口发现没改,ipconfig发现是双网卡,但都在内网,装了金山杀毒软件和金山管理软件(不记得是不是这个名字了) 上传lcx想转发端口的,可惜被杀了,试了下taskkill,ntsd都不能把杀毒的进程给杀完,最主要的杀毒进程杀不掉,没办法,找小陈做了个免杀,自己又是外网(怨念哪。。当初花150买了个90块钱的tplink路由器,结果发现不能把自己放到dmz去,端口映射也不行,被黑出翔了,如果我是外网的,可以做更多的事的,反弹到我这里,用metasploit进行内网渗透。。。嘿嘿,留口水了)于是上外网服务器操作了,那慢的叫我想死了。。。不过好歹有个桌面环境给我操作,不用一直命令行了。 既然是内网,当然是要内网搞一搞了,但是之前我在服务器上翻了下,发现了装有winwebmail,这玩意一开始查同服的时候就知道了,只不过貌似限制了ip登录,但是我控制了服务端,不怕限制ip登录,以后可以作为一个信息来源,先留着。 Cmd下执行各种命令对内网环境做一个基本的了解。 C:Documents and Settingsfucker>net view /domain 查看有几个组 Domain————————————————————- MYGROUP WORKGROUP 命令成功完成。 C:Documents and Settingsfucker桌面Pwdump7>netview(查询有关系的机器) 服务器名称 注释 ———————————————————————— EFGP IBM IIBM JR141 jr141 JR142 JURANZHIJIALEWU JURZJCTI-9897F9 LEWU OASERVER POS27 pos27 POS28 POS29 pos29 POS30 pos30 USER-87C8B53A9C 命令成功完成。 C:Documents and Settingsfucker>net view/domain:workgroup(查看workgroup组下的机器) 服务器名称 注释 —————————————————————— EFGP IBM JR141 jr141 JR142 JURANZHIJIALEWU JURZJCTI-9897F9 LEWU OASERVER POS27 pos27 POS28 POS29 pos29 POS30 pos30 命令成功完成。 C:Documents and Settingsfucker>net view/domain:mygroup(查询mygroup组下的机器) 服务器名称 注释 ————————————————————————- AP-3850-3 Samba Server Version 3.0.33-0.17.el4 GP53 Samba Server Version 3.0.33-3.28.el5 命令成功完成。- 其实这些东西查询出来我也不懂有什么用。。。反正就是看别的内网渗透资料上的,就照做了。。。。 用wce和pwdump把本机的hash给导出来了(虽说wce可以读取内存中的明文密码,但是在导出hash的时候却没有pwdump给力,不知道为什么),拿去破解,做成了一个字典文件,挂到hscan上对内网的机器做一个大致的扫描,弱口令什么的在内网里是很常见的,而且因为是在内网,所以扫描到的端口比外网也会准确的多。 一阵扫描下来,收获颇丰 这只是一部分,还有一些没有显示出来。 有三台服务器的mssql的sa密码为123,果断拿下 发现上面装了飞秋,一个内网通讯工具,发现这个内网很大(实际上确实很大,后来在内网嗅探的时候得到了证实)以后可以作为一个社工的桥梁,冒充别人,获取更多的信息。 抓取hash,拿去破解,于是被我发现规律了。。 28的那台机器administrator密码为1.2 29的那台机器administrator密码为1.3 30的那台机器administrator密码为1.3 于是我在28之前和30之后对开启了远程桌面的机器进行了尝试,果断用1.1的密码进入了27的机器,但是其他的就没有成功。 在这些机器上全部种上winlogon木马,用以记录管理员的登录密码,万一能够记录到域管理的密码那就爽了。。。 3的那台机器同样是sa弱口令123,抓取hash破解为0o9i8u7y(看上去很复杂,实际上很简单,看下你的键盘就知道了),种上winlogon木马。 继续看hscan的扫描报告 果断猜想192.168.0.21的adminsitrator密码为easyhome,连上去登录了 (这么敏感的东西都被我看到了,罪过罪过,安全有多重要啊) 看到有几台机器的扫描报告几乎相同,怀疑是否是一台机器,一台机器分配了多个ip? admin的帐号估计权限很大,sybase是oracle的最高权限的帐号,悲剧了,又是弱口令惹的祸,据说oracle可以执行命令,但是没有尝试,看上去貌似很麻烦,这网速龟一样,点个右键要两秒钟才能出来。telnet上去结果登录帐号但是回显的并不是能够执行命令的,这让我比较奇怪,后来嗅探的时候搞清楚了,这几台机器貌似是处理订单之类的。登录之后让我选择什么的,但是选择了编号回车之后就提示失去连接,后来用嗅探到的帐号登录发现也是同样的问题,暂时不知道原因。 不能执行命令自然就不能溢出提权了,看到hscan扫到了80端口,访问发现是apache的默认页面(redhat貌似是默认安装的?),我的思路是通过ftp上传一个php木马,反弹一个shell到我这里来执行命令 Ftp连接上机器,找到网站目录之后发现没有上传的权限,但是在子目录里又有上传的权限,上传了php的webshell,但是访问发现是一片空白,不知道是什么原因,于是这个思路又断了。 到网上找了下ssh的相关版本有没有远程溢出的漏洞,无果,暂时放弃好了。 用到现在为止收集到的信息(管理员的帐号密码,翻各种文件找到的一些敏感信息),整理了下,再次弄了个字典,挂上hscan扫 有所斩获,192.168.0.7的机器的ftp帐号密码为adminsitrator,0o9i8u7y,果断连接远程桌面,发现是windows2000,不常见哟。 到这里陷入了僵局,再一次意淫了下自己是外网的情景,metaploit溢出于谈笑之间,在各台服务器上systeminfo了一下,发现没有打ms08-067的补丁,想到用08-067来远程溢出,但是发现网上所用的08-067抓鸡工具都是需要配置木马,让其下载运行再上线的,本机开放了80端口,但是内网其他机器下载的话需要经过http验证,没去查什么原因,懒。。。 再次用hscan扫描的到的弱口令一个一个试,发现还有aix系统的服务器,我自然是没有经验搞的了,但是收获还是有的,找到另外两台redhat服务器,登录之后能够执行命令,那就好办了,尝试udev通杀提权都不成功,然后一台内核版本2.6.18-194的用一句话给提权了,种上rootkit走人(本来想种个键盘记录的,但是想想还是算了,我得从网上下载下来,然后ftp传给linux,再进行安装,两台linux的dns配置都有问题,尝试ping www.91ri.org,无法访问外部网络,wget自然是没用的了,只能通过这个方法了,期间还得忍受鼠标1-2秒的延迟,欲乘风去撞墙~)还有一台用了各种exp,最后http://keio2.cccpan.com/在这里找到的exp给成功溢出了,同样种上rootkit (这台是一句话提的权) 种rootkit的我没有截图下来,命令敲上来好了,rootkit下载地址: http://forum.eviloctal.com/attachment.php?aid=13419#tc_qz_original=47347 传到tmp目录下, tar zxvf mafix.tar.gz 解压缩。进入目录,赋予root文件执行权限 安装rootkit:./root 连接密码 端口 回车 如果成功回显如下: 下次之间用putty连接相应端口输入密码就可以了,root权限。 安装成功后目录会自行删除,最后history -c 清除命令记录。 又有两台服务器到手了,自然是下载/etc/shadow文件到本地尝试破解,很荣幸的,破解失败。 期间仍然在各台服务器的硬盘上各种翻,找敏感数据。 看到有三台思科路由器 弱口令登录失败,尝试暴力破解同样失败,telnet上去,回显: Lishijie welcomes you! Are you allowed by administrator?If not, you are not allowed to enter!(大概就这么一段话) 得知了管理员叫做lishijie,百度了下“lishijie 居然” 也没发现什么,发现社工网站打不开了,在自己下载的csdn库中找lishijie找到多个帐号(为什么要到csdn找,你懂的)。。。不愿一个个去试了,本机把winwebmail中lishijie的那个文件夹中文件查看了下,发现些相关信息 再到csdn中找了下,终于找到了 尝试登录失败,很累,感觉不会爱了 不愿去社工了,省的没射到别人自己惹了一身骚。 直接apr嗅探好了 扫描同网关下的机器的时候发现还有打印机 可以考虑下微软的打印机远程溢出,惠普的应该存在远程溢出的,可惜我没找到。 嗅探了两天也没什么成果,telnet那边很多记录,都是前面我说的登录就要选择的那种,不能执行命令的。可惜没有root密码 类似的,我猜可能是订单管理之类的服务器,但是数据交换大都在10.XX.XX.XX和192.168.0.XX之间的,联想到之前的飞秋,我猜到了10.XX.XX.XX大概都是员工的个人pc, 不愿搞了,很累,感觉再也不会爱了。 干脆把居然之家主站的首页给换了吧,我首先想到的当然是netfuke劫持,但是没有找到主站服务器的内网ip啊。之前我嗅探的都是192.168.0.XX这个段的,于是嗅探了一段时间的192.168.1.XX,然后就被我发现了192.168.1.5这台机器和192.168.1.1网关之间有数据,domain显示www.juran.com.cn,毫无疑问,这就是居然之家的主站了。 剩下的你大概也知道了,下载了netfuke,配置好,点开始,然后就把居然的首页给换了。 总结一下吧:运气很好,耐心不够,技术不足,我还是怨念我的内网环境。。。metasploit只能在本地测试,蛋疼死了,求推荐能放把机器在dmz区的路由~~ 顺便说一句:年底我要想好好编程,日站什么的,还是别找我帮忙了吧,在此谢过各位大黑阔 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com