以下是對(duì)目標(biāo)信息進(jìn)行的搜集,開了22端口,管理員可能是用SSH來(lái)管理主站,上次hackest檢測(cè)的時(shí)候,就是拿下了C段的一臺(tái)windows主機(jī),從而對(duì)目標(biāo)主機(jī)嗅探得到FTP密碼.這次我的目的不僅僅是主站,而是復(fù)旦大學(xué)的整個(gè)網(wǎng)絡(luò).
目標(biāo):www.fudan.edu.cn
IP: 61.129.42.5
7C h6|4b2A;@3r#R0Port:21.80.22,3306,4444,4662,8009,8080
Web:sun Unix
1. 初戰(zhàn)告捷
思路:因?yàn)橄衲炒髮W(xué)這樣的內(nèi)網(wǎng),在路由器上是設(shè)置了很嚴(yán)格的外網(wǎng)訪問(wèn)規(guī)則的,想掃弱口令?根本不可能.(后來(lái)事實(shí)也證明了我的猜測(cè),2級(jí)域名ping下去都是一個(gè)IP,看來(lái)是在路由那里做了端口的設(shè)置),通過(guò)腳本漏洞拿下內(nèi)網(wǎng)的一臺(tái)機(jī)器,摸清里面的結(jié)構(gòu)再說(shuō)吧.
結(jié)果:很輕易的拿下了一臺(tái)內(nèi)網(wǎng)機(jī)器,內(nèi)網(wǎng)ip:10.107.0.12(windows2000)(圖1).并且成功抓取到了管理員密碼(因?yàn)檫@個(gè)權(quán)限中途夭折,就沒用截圖了)
方法:分站越多.安全越難兼顧.拿出域名查詢助手,查了下其c段的域名,,一個(gè)個(gè)分站的檢測(cè),不知不覺中就發(fā)現(xiàn)了突破口,一個(gè)分站的論壇回復(fù)的時(shí)候可以直接上傳jsp附件,估計(jì)是學(xué)生寫的吧,要不怎么會(huì)讓jsp文件都可以上傳.很輕易的得到了一個(gè)jsp的webshell,呵呵,jsp權(quán)限很大的哦,通過(guò)教主在邪八發(fā)布的那個(gè)端口轉(zhuǎn)發(fā)的工具殺進(jìn)內(nèi)網(wǎng).(具體用法我在上期的對(duì)華中科技大學(xué)的滲透中講過(guò)了,要多多關(guān)注黑手咯)
總結(jié):現(xiàn)在對(duì)于大型的站點(diǎn),asp的類型越發(fā)少了,所以大家也不要拿起注入工具,對(duì)著目標(biāo)一陣亂掃,理清思路,多在上傳上想辦法,上傳可是可以直接拿到webshell的,還有用google搜索一些關(guān)鍵字,對(duì)于學(xué)校站點(diǎn)還是很有效的
 |
| 圖1 |
2. 內(nèi)網(wǎng)徘徊
思路:身在內(nèi)網(wǎng),可以摸索到外網(wǎng)無(wú)法收集的信息.掃描-溢出-嗅探,拿手好戲當(dāng)然是社工.
結(jié)果:拿下10.107.0.36 | 10.107.0.21 | 10.107.0.59三臺(tái)機(jī)器(均為windows2003)以及若干信息.
方法:掃描出sa弱口令,拿下機(jī)器:10.107.0.36(圖2);52端口的dns溢出,拿下機(jī)器10.107.0.21;通過(guò)cain的嗅探,得到一個(gè)ftp弱口令,帳號(hào)為:administrator,密碼為xxxx,社工3389,成功進(jìn)入,拿下機(jī)器10.107.0.59.(圖3)
 |
| 圖2 |
 |
| 圖3 |
總結(jié):了解出了拓?fù)?對(duì)應(yīng)外網(wǎng)的網(wǎng)址,內(nèi)網(wǎng)的信息對(duì)之后的滲透起到了很重要的作用,每個(gè)系都是獨(dú)立一臺(tái)服務(wù)器,所以說(shuō)密碼社工的概率變小了,不過(guò)沒關(guān)系,他們的意識(shí)都不強(qiáng).
3.中途夭折
結(jié)果:在10.107.0.12上掛著xscan讓它掃,睡一覺起來(lái),服務(wù)器連不上,jsp木馬顯示連接不上.
總結(jié):內(nèi)網(wǎng)掃描的確存在很大的危險(xiǎn)性.而且我這里是端口轉(zhuǎn)向進(jìn)內(nèi)網(wǎng),穩(wěn)定性還有待考證.最重要的一點(diǎn)是不應(yīng)該在突破口這臺(tái)機(jī)器上進(jìn)行過(guò)多行動(dòng),現(xiàn)在突破口的機(jī)器沒了,那么我內(nèi)網(wǎng)拿下的機(jī)器,以及搜集到的信息也沒有任何作用了.
4.越挫越勇
思路:沒有那么容易放棄的,繼續(xù)想辦法殺進(jìn)內(nèi)網(wǎng),看來(lái)還是要從腳本入手了.這里我想到了jsp站點(diǎn)的tomact安全型會(huì)不會(huì)存在問(wèn)題.
結(jié)果:成功再次殺進(jìn)內(nèi)網(wǎng),拿下機(jī)器:10.107.0.44(圖4) | 10.61.18.40(圖5)(均為windows2003),以及10.67.1.1(圖6)的webshell.
 |
| 圖4 |
 |
| 圖5 |
 |
| 圖6 |
方法:google搜索inurl: fudan.edu.cn jsp,在搜索到的站點(diǎn)后加入/manager/html,彈出登錄框,輸入帳號(hào)admin,密碼空.成功進(jìn)入.得到 webshell的方法是在tomacat里的上傳里上傳.war結(jié)尾的文件,這個(gè)文件里面包含了jsp馬,具體的可以參看黑手08第一期小魚寫的文章. 這個(gè)方法直接得到了系統(tǒng)權(quán)限,要知道jsp配置不好,腳本的漏洞可以直接導(dǎo)致系統(tǒng)權(quán)限的淪陷.10.67.1.1的wenshell是通過(guò)sql注入得到,猜解出管理員帳號(hào)密碼,進(jìn)入后臺(tái),上傳的地方不準(zhǔn)許上傳asp文件,沒關(guān)系,在上傳文件后面加入一個(gè)空格即可突破,asp的wenshell可是沒有 jsp的大哦,不過(guò)基本沒設(shè)置權(quán)限,默認(rèn)安裝的,替換了服務(wù),就等他重啟.
總結(jié):管理員的弱意識(shí)讓我重新進(jìn)入內(nèi)網(wǎng),很多管理員不熟悉tomact,基本默認(rèn)安裝,jsp的安全是一個(gè)值得注意的問(wèn)題,不為別的,有了jsp馬,我都不用放后門了.
| 共2頁(yè): 1 [2] 下一頁(yè) | ||||
|
