返回列表 发帖
jjcd

Rank: 4

帖子
176 
积分
477 
威望
758  
金钱
638  
在线时间
0 小时 

贡献奖灌水王帅哥勋章
1 跳转到 » 倒序看帖
打印
tT
发表于 2008-7-22 09:44 | 显示全部帖子

[讨论]一次渗透的经过

讨论
[讨论]一次渗透的经过
议题作者:逝水
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

   昨天正在无聊的时候,QQ上的好朋友发过来一个webshell,说是搞了快一个星期了一直在等服务器重起。问我不知道有没有好办法搞定。目标是提权达到入侵指定的站,说白了就是旁注了。
   大致的了解了一下这个服务的情况,绑定了10来个站,拿webshell的站是用的动易的系统,很容易就拿到了webshell,服务器有4个盘NTFS格式。C:\Docume~1无法访问,跳转了几个目录都无法访问。C:\Progra~1这个可以访问,但发现了这个服务器上装了瑞星,还装了一个Kaspersky Lab。汗!!。没有发现有servu的影子哦,但是也没见到其他的FTP软件在上面,怪哦。各个虚礼站都有自己的独立IIS用户,虚礼目录建在c盘。可幸的是那wscript.shell组建没有删,郁闷的事是,几个提权能利用的目录都没有执行权限,而且我朋友说这个 wscript.shell虽然说没删,但是也执行不了cmd。查看服务的模块也打不开,那我们只有试试服务器的脚本环境了。c:\php,c:\perl,C:\Program Files\Java Web Start\都显示路径找不到哦,只好在webshell上传了php,cgi和pl,发现都没有被执行。难道就真的没择了?wscript.shell没有删的站提权的机率是很大的。暂且先把这个webshell放一边吧,我们先去目标站看看吧,原来是一个游戏交易站,呵呵。主页很简单就是一个电信和网通的选择入口。查了下我们搞的是这个电信的服务器。网站做的还不错,也不纯在什么大的漏洞,几种常见的方法都试过了,包括googlehacking。不过也正常,一般游戏娱乐类的站直接从主站下手是很吃力的。最后打开主页的源代码看了下。发现有ASPX的连接页面,也就是说这个服务器是支持.net的,呵呵,马上跑到我们先前的那个webshell里,传了一个aspx马上去。嘿嘿,正常访问哦,也就是说我们现在是user的权限了。

  因为一个服务器来说是不可能不装FTP的,要不给所有用户都开一个终端?这也不现实吧。既然这个管理员能在一个服务器上装瑞星和喀吧,那就有很大可能把一些重要的程序快接方式都给删除了吧,pcanywhere想不要想去下载他的CIF文件了,。唯一还植得一试的就是servu了,毕竟这个有本地权限提升的bug啊。呵呵,而且我们也多牛人们也都很重视这个漏洞的利用哦,写了各个版本的提升exp,嘎嘎,也给我们这些小菜们开了不少方便之门哦,把还等什么,直接传了一个lake2大哥写的aspx版的servu上去了。OK,成功运行。用户密码和端口全部都默认吧。要是他真的改了我也没办法了,PS:好象说读注册表可以找些信息出来。偶太菜了还没成功过。有成功的朋友一定要告诉我哦^-^.我们来运行命令吧。net user>C:\vhost\xxx.com\www\1.txt。执行返回了一些信息,赶快去看看有没有1.txt吧。刷新了几便还是找不到哦。郁闷列。。。。是不是真的没得完了??正在我郁闷的时候,朋友告诉我说这个可以成功执行命令,而且他已经加了一个管理员用户进去了,我也半信半疑的net user然后net localgroup administrators ,去连一下吧!~~昏,连不上哦,后来才知道是终端端口已经改了。。改成37192了,在连一下IP:37192恩,这下进来了,输入帐号密码。“终端连接超过最大限制!”汗!~
    换句话说就是我建的用户是合法了。已经建立成功了,不然会出现帐号密码错误的提示的,但是为什么net user >C:\vhost\xxx.com\www\1.txt却没有显示呢?难道这个不支持回显吗?还请大牛们指点哦,不关了。我这次的目标是拿站就可以了我们来cacls d: /E /T /G everyone:F>C:\vhost\xxx.com\www\1.txt,不行!不要回显吧直接cacls d: /E /T /G everyone:F。点一下D:呵呵,成功了,同样的方法把C盘也设置成everyone control了,好了在vhost目录里找那个目标站吧,因为目录和对应的站之间没有很明显的联系,于是只有用海洋的文件功能了,搜了好长时间都没搜到,不会吧,都到了这个份上了,你还玩我??朋友说他是不是使用了域名转向了?要真是那样我还不吐血啊!~找了10几分钟了,现在可以确定在vhost目录里没有这个站,又退回到C盘根目录,看看看到一个www ,进去以后才知道这个管理员还装了Cygwin。里面有一个host目录,编辑default.aspx,这才是我们要搞的那个站啊,他居然把这个站单独分在另一个文件夹里,真BT啊。哎!~到这里终于完成了这次渗透了。
   总结一下,此次渗透也没什么技术性可言,说白了还是servu的故计重演。呵呵。此次渗透运气成分占了一定比例,原本不想那出来献丑,朋友硬让我写出来,哎,就当是献给那些和我一样的菜鸟们吧^-^
帖子36 精华2 积分138 阅读权限40 在线时间40 小时 注册时间2006-4-13 最后登录2008-4-14 查看详细资料引用 报告 回复 TOP 软件项目外包

sobiny
荣誉会员
收藏 分享

返回列表