某天比較無聊,聽一個朋友推薦httpscan這款工具,於是就下載下來試試。
首先對某學校網段開始進行測試。
|
1
|
|
python httpscan.py **.**.**.0/24
測試時發現有個比較特殊的標題。一般有這個,證明存在目錄遍歷。
目錄遍歷這個漏洞,說大也不大,說小也不小,但是,一般來說,存在這種目錄,可以證明網站管理員比較粗心,當然也有可能會把一些敏感文件放在上面,如數據庫文件,賬號文件等。
嘗試google搜索
|
1
|
|
1 intitle:Index of /
可以找出好多這種例子。可以撞運氣試一下有沒有敏感文件泄露,然后進一步拿下一個站。
開始滲透
當時訪問后,發現是以下的狀況。
這個就又比較開心,看到了phpinfo。
這個文件和目錄遍歷漏洞性質也差不多,說大也大,說小也小。
phpinfo屬於處在信息收集階段的一個重頭,當有了這些信息,可以看出服務器端調用了那些庫,以及一些敏感路徑,從而進行深入的漏洞挖掘。用途也是很廣的。
所以建議各個站長,不要將這個文件泄露出來。
phpinfo先放一邊,先點開1目錄看一下,發現是一個discuz 3.2的站
嘗試搜索discuz 3.2 getshell,最終發現有個后台插件配置導致getshell,但此時我們沒有后台權限。
於是繼續搜索,也沒發現什么有價值的。
於是改變思路,想一下如何能進入后台。
嘗試弱口令登錄,最終admin admin 成功登錄后台。
當時的心情是絕望的。
順理成章,直接進入后台,找到好貸站長聯盟 2.0.2安裝,並啟用。
然后進行配置,輸入我們的一句話即可。
成功拿到shell
控制服務器
當然,這么簡單的滲透,拿到shell肯定是不夠的。
要想辦法進而打開3389,成功奪取服務器權限,這樣可以實現長久控制。
首先shell打開命令行,查看一下用戶權限
當然,由於用的是蟻劍,已經說明了。
此時因為用的就是最高權限,所以就不用再進行提權了。
此時我們可以嘗試創建新用戶,並賦於其管理員權限。
|
1
2
|
1 net user hacker 123456 /add 2 net localgroup Administrators hacker /add
此時再次輸入net user即可查看到你創建的用戶。
然后嘗試3389鏈接,發現無法鏈接。
此時第一反應一定是,他改端口了。
因為畢竟是服務器,不可能不通過遠程桌面連,天天抱個顯示器去機房。
於是需要找到其3389端口修改后的端口。
首先查看一下端口占用情況:netstat -ano
發現果然是沒有3389,此時可以猜測一下,感覺那個像就連那個,多試幾次就好了。
但是,咱可是一個有抱負的技術宅,怎么可能用這種概率事件!
所以,可以通過查看一下當前運行的服務,定位pid后,到端口占用里面對比。
首先tasklist /svc然后尋找TermService,記錄下中間的pid號。
然后返回之前的端口占用情況圖中尋找5492,可以輕易發現,3389端口被改到了65530
然后嘗試用我們賬戶通過 mstsc鏈接過去即可
最終成功拿下服務器。
做到這步的時候,已經可以說是結束了,但是!如果被管理員發現賬戶后刪除了怎么辦呢?
此時需要找一下管理員的密碼。
通過一款老師推薦的軟件,最終查詢到了管理員的密碼。
尋找管理員密碼
使用工具mimikatz。
首先下載該工具,然后上傳到目標機器。
按目標機器環境,使用合適的位數(32or64),直接執行。
然后在工具窗格內依次輸入以下兩條命令即可
第一條:privilege::debug //提升權限
第二條:sekurlsa::logonpasswords //抓取密碼
在這里,由於隱私問題就不放截圖了。
最后再說一點,這幾步,雖然說實現了長久的控制,但是還是有所欠缺,畢竟管理員一旦發現有其他賬號,在刪掉的同時也會將自己的密碼改掉。
所以一般大佬們都是直接放入自己的遠控木馬,進而持久控制。
漏洞威脅以及修復建議
- 在該服務器下發現存在teamviewer,懷疑有人已經拿下該服務器,進而實現長久控制。
- 該服務器大部分數據為14年左右,且網站完全沒用,建議關閉該台服務器。
- 網站內敏感數據建議刪除或備份到其他地方。
- 建議對服務器集群內文件實施清理,減少不必要文件泄露。
總結
這次滲透測試,比較膽戰心驚,因為一環一環,猶如是一個蜜罐在引自己上鈎。
但是考慮到之前老師對自己進行漏洞挖掘的支持,還是進行了下去。
感覺這台服務器之前應該是測試用的,最后忘了還跑着服務,最終導致被拿下。
轉自:丶諾熙
http://blog.5am3.com/2018/05/04/web-testing-one/