以下是對目標信息進行的搜集,開了22端口,管理員可能是用SSH來管理主站,上次hackest檢測的時候,就是拿下了C段的一臺windows主機,從而對目標主機嗅探得到FTP密碼.這次我的目的不僅僅是主站,而是復旦大學的整個網絡.

目標:www.fudan.edu.cn

IP: 61.129.42.5

7C h6|4b2A;@3r#R0Port:21.80.22,3306,4444,4662,8009,8080

Web:sun Unix

1. 初戰告捷

思路:因為像某大學這樣的內網,在路由器上是設置了很嚴格的外網訪問規則的,想掃弱口令?根本不可能.(后來事實也證明了我的猜測,2級域名ping下去都是一個IP,看來是在路由那里做了端口的設置),通過腳本漏洞拿下內網的一臺機器,摸清里面的結構再說吧.

結果:很輕易的拿下了一臺內網機器,內網ip:10.107.0.12(windows2000)(圖1).并且成功抓取到了管理員密碼(因為這個權限中途夭折,就沒用截圖了)

方法:分站越多.安全越難兼顧.拿出域名查詢助手,查了下其c段的域名,,一個個分站的檢測,不知不覺中就發現了突破口,一個分站的論壇回復的時候可以直接上傳jsp附件,估計是學生寫的吧,要不怎么會讓jsp文件都可以上傳.很輕易的得到了一個jsp的webshell,呵呵,jsp權限很大的哦,通過教主在邪八發布的那個端口轉發的工具殺進內網.(具體用法我在上期的對華中科技大學的滲透中講過了,要多多關注黑手咯)

總結:現在對于大型的站點,asp的類型越發少了,所以大家也不要拿起注入工具,對著目標一陣亂掃,理清思路,多在上傳上想辦法,上傳可是可以直接拿到webshell的,還有用google搜索一些關鍵字,對于學校站點還是很有效的

圖1

2. 內網徘徊

思路:身在內網,可以摸索到外網無法收集的信息.掃描-溢出-嗅探,拿手好戲當然是社工.

結果:拿下10.107.0.36 | 10.107.0.21 | 10.107.0.59三臺機器(均為windows2003)以及若干信息.

方法:掃描出sa弱口令,拿下機器:10.107.0.36(圖2);52端口的dns溢出,拿下機器10.107.0.21;通過cain的嗅探,得到一個ftp弱口令,帳號為:administrator,密碼為xxxx,社工3389,成功進入,拿下機器10.107.0.59.(圖3)

圖2

圖3

總結:了解出了拓撲,對應外網的網址,內網的信息對之后的滲透起到了很重要的作用,每個系都是獨立一臺服務器,所以說密碼社工的概率變小了,不過沒關系,他們的意識都不強.

3.中途夭折

結果:在10.107.0.12上掛著xscan讓它掃,睡一覺起來,服務器連不上,jsp木馬顯示連接不上.

總結:內網掃描的確存在很大的危險性.而且我這里是端口轉向進內網,穩定性還有待考證.最重要的一點是不應該在突破口這臺機器上進行過多行動,現在突破口的機器沒了,那么我內網拿下的機器,以及搜集到的信息也沒有任何作用了.

4.越挫越勇

思路:沒有那么容易放棄的,繼續想辦法殺進內網,看來還是要從腳本入手了.這里我想到了jsp站點的tomact安全型會不會存在問題.

結果:成功再次殺進內網,拿下機器:10.107.0.44(圖4) | 10.61.18.40(圖5)(均為windows2003),以及10.67.1.1(圖6)的webshell.

圖4

圖5

圖6

方法:google搜索inurl: fudan.edu.cn jsp,在搜索到的站點后加入/manager/html,彈出登錄框,輸入帳號admin,密碼空.成功進入.得到 webshell的方法是在tomacat里的上傳里上傳.war結尾的文件,這個文件里面包含了jsp馬,具體的可以參看黑手08第一期小魚寫的文章. 這個方法直接得到了系統權限,要知道jsp配置不好,腳本的漏洞可以直接導致系統權限的淪陷.10.67.1.1的wenshell是通過sql注入得到,猜解出管理員帳號密碼,進入后臺,上傳的地方不準許上傳asp文件,沒關系,在上傳文件后面加入一個空格即可突破,asp的wenshell可是沒有 jsp的大哦,不過基本沒設置權限,默認安裝的,替換了服務,就等他重啟.

總結:管理員的弱意識讓我重新進入內網,很多管理員不熟悉tomact,基本默認安裝,jsp的安全是一個值得注意的問題,不為別的,有了jsp馬,我都不用放后門了.